Windows 7 Enterprise Edition - ett djuplodande test

Det är ingen nyhet eller hemlighet att Windows Vista inte blev den succé Microsoft hade hoppats på. Många företag har avvaktat för att se om dess efterträdare möjligen kunde bli bättre. Windows 7 har nu släppts i skarp version och vi ska titta närmare på de nya funktionerna i Windows 7 Enterprise Edition för att se hur man har lyckats och vilka nyheter en it-avdelning på ett företag kan dra nytta av.

Windows 7 upplevs av många som snabbare att använda, något som till viss del kan förklaras med den förändrade konfigurationen av SuperFetch som fick Vista att arbeta kraftigt mot disk efter uppstart. Andra trevliga nyheter är till exempel bättre sökfunktion som visar träffar medan du skriver in frågan och förbättrad hantering av User Account Control, som har en mer rimlig inställning rörande hur ofta den ska be om ditt godkännande.

Men det är trots allt under ytan och för it-avdelningen som de största nyheterna ligger, som gör livet enklare för användarna utan att göra det mer komplicerat för it-avdelningen.

Så här kan en Windows 7-skrivbordsyta se ut. Notera att gadgets nu kan flyta fritt. En kul detalj är att du kan välja flera bakgrundsbilder som Windows byter mellan slumpartat.

Direct Access ger kontakt

Den nya funktion vi ser störst värde i är Direct Access, så vi börjar med att titta på den. Det traditionella sättet att komma åt hemmanätverket när man är ute och reser är att etablera en internetförbindelse på valfritt sätt och sedan skapa en vpn-förbindelse in till jobbet. Via denna kan man sedan arbeta som om man satt fysiskt på jobbet. Detta fungerar förstås, men ger bekymmer för både it-avdelningen och användarna i och med att man inte kan hantera datorer och användare på samma sätt som på jobbet.

De loggas inte in i domänen på vanligt vis, gpo-inställningar slår inte på klienterna, patchar och antivirus appliceras kanske inte som det är tänkt, och så vidare. Dessutom måste användaren genomföra manuella steg för att skapa sitt vpn vilket kan vara en källa till trubbel och supportsamtal. Funktionen Direct Access innebär att klienten redan vid uppstart av operativsystemet etablerar en vpn-förbindelse till hemmanätet och beter sig i allt väsentligt som att den befann sig inne på jobbet. Gpo:er slår på klienten, uppdateringar appliceras och användaren kan nå interna servrar precis som om han eller hon befann sig fysiskt på jobbet.

Dina vanliga supportverktyg fungerar förstås också som vanligt åt andra hållet vilket oftast innebär att det är lätt att ta över skärmen på en pc om användaren ringer in och har problem. Kort sagt innebär Direct Access att ditt nätverk förändras från att vara geografiskt avgränsat till att plötsligt omfatta alla användare oavsett var de befinner sig. Med en allt mer mobil arbetskraft är detta en synnerligen central och viktig funktion.

Lösningen kräver Windows 7 och Windows Server 2008 R2 och dessutom, och detta kan vara ett tufft problem att lösa för vissa företag, kräver Direct Access ipv6 för att fungera. Om ni ännu inte har börjat se över hur en övergång till ipv6 ska gå till så är det nu hög tid i och med att det som synes nu börjar komma tjänster som förväntar sig att denna teknik finns tillgänglig. För att underlätta övergången finns tekniker som Teredo och 6-to-4.

Om ingen av dessa anslutningar fungerar så försöker klienten ansluta med ip-https (ssl) vilket borde fungera genom de flesta brandväggar på gott och ont. Med tanke på de tekniska krav Direct Access ställer kan det, utöver krav på kommunikationsutrustningen, medföra krav på en kunskapshöjning inom ipv6 hos många företag som kan vara en utmaning.

Windows 7 har annars inga problem att fungera i en äldre miljö baserad på Windows Server 2003, men man får förstås inte tillgång till de senaste funktionerna som Gpo Preferences eller Direct Access så det är troligt att du vill uppgradera din serverpark eller i alla fall dina domänkontrollanter till att baseras på Windows Server 2008.

Det vore bra om Microsoft i framtiden kunde lansera en Direct Access-klient även för äldre operativsystem som XP och Vista för att snabbt ge alla företag denna möjlighet.

Direct Access etablerar en ipsec-baserad förbindelse in till ditt hemmanätverk utan att användaren behöver eller kan göra något åt saken. Detta sker så tidigt i uppstartsprocessen att gpo:er kan slå på klienten, en vanlig domäninloggning kan ske och användaren upplever allt precis som att han satt på jobbet.

Allt som behövs är en internetförbindelse som etableras på valfritt sätt när man är på resande fot, exempelvis med ett 3g-kort integrerat i din laptop. Trafik mot internet, tex vanlig surfning, skickas inte via företaget utan går direkt mot internet.

Snabba lokalkontor

Ett annat traditionellt bekymmer löser Windows 7 genom att ge snabbare tillgång till filer på lokalkontor. Funktionen kallas för Branch- eller Peercache beroende på hur man sätter upp det.

Peercache innebär att en klient på ett lokalkontor laddar hem en stor bild från intranätet på jobbet, och när en kollega sedan ska ladda hem samma bild så får han eller hon reda på att denna bild redan finns hämtad på en annan klient på samma nätverk, och överför istället bilden från kollegans dator istället för att återigen dra den över en potentiellt långsam wan-förbindelse vars bandbredd troligen kan användas till annat. Peercaching sker osynligt för användaren och Bits 4.0 kan också använda denna funktion vilket innebär att till exempel stora patchar och servicepacks inte behöver hämtas av varje klient.

Samma funktion kan kompletteras med en server som får en roll vid namn Branchcache aktiverad vilket innebär att man alltid vet att de fördelar som beskrivs ovan kommer att fungera, annars blir kanske upplevelsen lite hackig för användarna eftersom en kollega förstås när som helst kan stänga av sin dator och därmed förstöra Peercachefunktionen.

En enkel men ganska användbar funktion kallas för Problem Steps Recorder (psr). Den kan vara användbar om en användare ringer och behöver ha hjälp men inte riktigt lyckas förklara vad som krånglar. Användaren kan då starta psr (psr.exe) och sätta igång en inspelning.

Det som händer är att användarens åtgärder spelas in och en skärmdump tas vid varje musklick. Användaren kan också markera ett område på skärmen och skriva en kommentar som bifogas där man kan ange vad som stökar.

När problemet är beskrivet så stoppar användaren inspelningen och resultatet blir en zippad .mht-fil som användaren kan mejla eller placera på ett nätverksshare så att du lätt kan öppna den i webbläsaren för att se vad det är för problem användaren har.

Efter att en användare använt sig av Problem Steps Recorder och skickat resultatfilen till dig kan du se med egna ögon vad problemet består av.

Applikationssäkerhet

Ett behov som troligen funnits så länge det funnits datorer är att kunna styra vilka program användarna ska kunna starta. Vi har sedan tidigare kunnat använda gpo för att skapa path rules och hash rules med Software Restriction Policies, vilket också fungerar att göra med Applocker.

Den stora nyheten här är att vi kan använda certifikatinformationen i digitalt signerade applikationer för att ange olika krav som måste uppfyllas för att de ska få exekveras. Exempelvis kan vi ange att alla produkter som är signerade av Microsoft ska få köras, eller endast en signerad fil av en viss version eller högre av en fil ska få köras. Detta ger säkerhet i hanteringen, men ger oss ändå en viss flexibilitet att kunna uppdatera en produkt till nyare versioner utan att behöva bygga om regelverket varje gång, vilket är fallet idag och har lett till att få företag orkar använda funktionen.

För att kunna använda Applocker centralstyrt behöver du använda Windows Server 2008 R2 som lanserades i skarp version i mitten av augusti, och det är endast Windows 7 som kan ta till sig det nya regelverket.

För att på ett enkelt sätt kunna installera nya klienter med Windows 7 har ett nytt verktyg skapats som heter dism.exe. Med dism (Deployment Image Servicing and Management) kan man enklare än tidigare injicera nya drivrutiner i en mall och även ta bort äldre drivrutiner. Dessa mallar skjuts sedan ut med exempelvis WDS i Windows Server 2008.

Wim-formatet är kvar, men en nyhet är att dism också kan arbeta mot virtuella klienters vhd-filer likväl som mot wim-filer, vilket ger oss möjlighet att behandla fysiska och virtuella klienter på samma sätt mallmässigt.

En funktion som inte omtalats så mycket men som vi gillar är Offline Domain Join. Denna funktion gör att man kan gå med i en domän utan att just då ha tillgång till en dc. När en klient sedan startar upp på nätverket så infogas den automatiskt och transparent in i domänen. En annan säkerhetshöjande funktion är Bitlocker to go, vilket medför en möjlighet att kryptera information på löstagbara media, exempelvis usb-minnen.

För mer avancerad hantering av operativsystemet vid av- och påloggning kan man nu köra Powershell script vid dessa tillfällen. Powershell 2.0 är inbyggt i Windows 7 och innebär att vi får möjlighet att köra Powershellscript remote mot en annan dator över nätverket.

Det är endast fantasin som sätter gränser för vad vi kan uppnå med Powershell, det absolut mesta kan konfigureras med denna teknik och Powershell kommer att göra sitt intåg i samtliga operativsystem och servertillämpningar från Microsoft i framtiden.

Software Restriction Policies har fått en storebror. Applocker ger oss större flexibilitet eftersom vi kan använda fler egenskaper av en certifikatsignerad applikation som kriterium för att avgöra om den ska få starta eller ej.

Starta virtuella OS

En funktion som kraftigt kan underlätta mallhantering och ge en enkel möjlighet att boota in i olika operativsystem är Vhd-boot. Det innebär att du kan skapa en vhd-fil, som normalt används med Virtual pc eller Hyper-v, i vilken du infogar en installation av Windows 7 med ett verktyg som heter Imagex. Efter justering av bootmenyn med bcdedit kan du starta en annan instans av Windows 7 från denna vhd-fil istället för din vanliga installation på en vanlig partition på hårddisken.

Denna vhd-baserade installation ser den riktiga hårdvaran i alla avseenden, men kan inte använda Bitlocker, hibernering eller mer avancerade energisparfunktioner. Kort sagt är vhd-boot inte riktat till laptop-användare.

VHD-boot gör det synnerligen enkelt att distribuera och återställa installationer av operativsystem eftersom det endast är en vanlig fil som innehåller allt och är lätt att byta ut. Du blir också av med gamla begränsningar kring antal partitioner på en disk och du slipper bekymra dig om att utrymmet ska ta slut på en viss partition eftersom alla vhd-filer nu kan ligga på en och samma diskpartition. Dessutom kan VHD-filerna skapas som "expandable", vilket är vanligt i virtuella sammanhang och innebär att diskfilen växer i takt med att de fylls med data, vilket kan spara oerhört mycket plats på disken.

Har man överseende med de tillkortakommanden vi nämner finns få skäl till att inte använda detta sätt att starta sin dator. Det är som att få en dynamisk partition och partitionskloningsteknik på köpet vid installation av Windows 7. Lysande.

Windows 7 är annars till utseendet väldigt likt Windows Vista. För användare och administratörer är det inte troligt att det krävs någon större utbildningsinsats för att kunna arbeta med det nya operativsystemet.

Den traditionella startknappen är borttagen och för användare som sedan XP arbetat med det nya utseendet är det inte heller troligt att någon stor insats behövs för att kunna arbeta som vanligt. De nya funktionerna, såsom psr och ribbonutseende på Wordpad och MS Paint, kan förstås behöva förklaras för användarledet.

Det finns också andra små guldkorn, till exempel möjligheten att direkt använda en mikrofon in i en terminalsession och det faktum att installationsprogrammet automatiskt reserverar en 100 MB stor partition åt oss om vi skulle få för oss att vilja använda Bitlocker på vår volym. När man försöker ta bort en fil som är öppen i ett annat program så får man numera veta vilket program som har filen öppen, en enkel men användbar nyhet.

En sista intressant funktion är att man kan ladda hem "Windows XP Mode" till sin Windows 7-installation vilket i praktiken innebär att man kör XP inuti sin Windows 7-installation. Program som inte är kompatibla med Windows 7 kan istället köras i denna virtuella XP-klient.

De som var med på den tiden får kanske minnesbilder av Commodore 128 som hade en C64 inuti sig för att alla gamla spel skulle fungera. När detta skrivs så finns ännu ingen svensk XP mode att hämta hem.

Windows 7 - En förbättring

Det har sagts förut och vi kan bara instämma, Windows 7 är vad Vista borde ha varit. Vi uppskattar den upplevda snabbheten i systemet jämfört med Vista på samma hårdvara och många av funktionerna ger en god höjning av användbarheten trots den ökade kodbasen. Främst tänker vi på Direct Access, men de nya funktionerna ställer också nya krav på kunskap och utrustning för att kunna användas.

Branch- och Peercache ger upplevd snabbhet för användarna utan större krav på förändring av lösningen för lokalkontor vilket är bra. Windows 7 är troligen en välkommen nyhet hos många it-avdelningar som hittills varit besvikna på Vista.

Efter att ha använt Windows 7 på egna datorer i några veckor känns det helt otänkbart att gå tillbaka till något annat.