«

»

déc 18

Windows 7 : les 10 premières tâches

Vue d'ensemble :

  • Se familiariser avec Windows 7
  • Gérer les dernières exigences en matière d'activation en volume
  • Développer une feuille de route
  • Gérer les nouvelles fonctionnalités de sécurité distribuée
  • Virtualiser des postes de travail et des infrastructures
  • Supprimer les droits d'administrateur local des utilisateurs
Sommaire
  1. Familiarisez-vous avec Windows 7.
  2. Découvrez Windows PowerShell.
  3. Plongez-vous dans la gestion des licences.
  4. Concentrez-vous sur les améliorations stratégiques.
  5. Développez l'étendue de déploiement.
  6. Préparez-vous pour la sécurité distribuée.
  7. Virtualisez vos postes de travail.
  8. Évaluez les fonctionnalités d'entreprise.
  9. Tissez des filets de sécurité de compatibilité.
  10. Supprimez les droits d'administrateur local de vos utilisateurs.
  11. Vous pouvez être un héros (pendant plus d'une journée)

Lorsque vous parcourez la liste des nouvelles fonctionnalités et améliorations offertes par Windows 7 (voir le tableau comparatif des fonctionnalités à l'adresse http://windows.microsoft.com/fr-FR/windows7/products/features), vous êtes en droit de vous demander comment vous allez pouvoir maîtriser toute cette nouvelle technologie afin de pouvoir en faire profiter vos utilisateurs sans trop perturber leur travail et leurs habitudes.

Voici dix étapes qui peuvent vous aider à atteindre cet objectif.

1. Familiarisez-vous avec Windows 7.

Bien évidemment, la première étape consiste à approfondir votre expérience personnelle. Passer quelques heures à jouer au labo ne suffira pas. Installez Windows 7 sur chaque station de travail de votre organisation et sur l'ordinateur que vous utilisez à votre domicile (pour les appels d'assistance à distance). Forcez-vous à trouver un moyen pour que tout fonctionne parfaitement.
La plupart des outils permettant de gérer des serveurs Windows à partir de Windows 7 sont inclus dans les Outils d'administration de serveur distant (RSAT), qui doivent être téléchargés séparément. Les versions 32 et 64-bit sont disponible à l'adresse http://www.microsoft.com/fr-fr/download/details.aspx?id=7887.
Ne soyez pas surpris si votre dossier Outils d'administration est encore vide après l'installation du package RSAT. Les outils RSAT sont fournis sous la forme d'un ensemble Fonctionnalités de Windows qui doit être activé séparément à l'aide de l'application Programmes et fonctionnalités du Panneau de configuration. Pour voir un exemple, consultez la Figure 1. Pour une raison inconnue (mais très bonne, j'en suis sûr), vous devez cliquer séparément sur chaque fonctionnalité pour la sélectionner. Les cases à cocher parentes n'activent pas automatiquement leurs enfants.

Figure 1 : Liste de fonctionnalités des outils RSAT de Windows 7

Les outils RSAT Active Directory fonctionnent avec les contrôleurs de domaine Windows 2003 et Windows 2008, bien que certaines fonctionnalités (comme la Corbeille Active Directory) requièrent le niveau de fonctionnalité Windows Server 2008 R2.

La gestion d'Exchange 2003 à partir d'une station de travail Windows 7 n'est pas aussi simple : la console Gestionnaire système Exchange fournie sur le CD-ROM d'installation d'Exchange 2003 ne s'exécute pas sur Windows 7. Il existe une version spéciale de cette console pour Vista que vous pouvez télécharger à l'adresse http://www.microsoft.com/en-us/download/details.aspx?id=17836. Cette console s'exécute correctement sur Windows 7, mais le programme d'installation effectue une vérification spécifique pour Vista (Windows version 6.0.0) qui échoue sur Windows 7. Vous pouvez utiliser un outil gratuit Microsoft nommé Orca pour modifier le fichier MSI afin de supprimer ou modifier le contrôle de version. Orca est inclus dans le Kit de développement logiciel (SDK) Windows Installer ; vous pouvez télécharger les instructions à l'adresse http://support.microsoft.com/kb/255905/fr. Cependant, je pense qu'il est beaucoup plus simple de charger le Gestionnaire système Exchange en mode XP. Mais nous y reviendrons.

2. Découvrez Windows PowerShell.

La compétence la plus importante que devra posséder un administrateur Windows dans les années à venir est sans aucun doute la maîtrise de Windows PowerShell. Windows PowerShell version 2 est intégré aux systèmes d'exploitation Windows 7 et Windows Server 2008 R2 et activé par défaut. Vous devez planifier l'installation de Windows PowerShell v2 sur vos postes de travail et serveurs restants afin de pouvoir utiliser une technologie de script unique permettant de gérer l'ensemble de vos ordinateurs. (Notez qu'il est impossible d'installer PowerShell v2 sur les serveurs ou stations de travail Exchange 2007. Ces ordinateurs requièrent PowerShell version 1.1. mais même la version 1.1 donne accès à une large gamme de fonctionnalités.)
Même si vous êtes un administrateur fana de l'interface graphique utilisateur qui n'a pas ouvert une invite de commandes depuis le siècle dernier, vous constaterez que la plupart des nouveaux outils d'interface graphique utilisateur Microsoft assument la forme d'applications frontales en plus des applets de commande Windows PowerShell. Une grande partie de ces outils vous indiquent la chaîne de commande sous-jacente, si vous savez où la chercher. C'est un moyen très simple d'observer le fonctionnement des applets de commande.
Il existe de très bonnes références Windows PowerShell, parmi lesquelles l'excellent ouvrage de Bruce Payette, membre de l'équipe Microsoft Windows PowerShell, intitulé "Windows PowerShell in Action" (Manning Publications, 2007). Une nouvelle édition est prévue prochainement; pour quelques dollars vous pouvez lire les premiers chapitres, réserver un exemplaire et obtenir un e-book de la première édition sur le site Web de l'éditeur, http://manning.com/payette2. Consultez également "Windows PowerShell Pocket Reference" (O'Reilly Media Inc., 2009) de Lee Holmes, un autre membre de l'équipe Windows PowerShell. Et n'oubliez pas de visiter le blog de l'équipe Windows PowerShell à l'adresse http://blogs.msdn.com/b/powershell/. Vous y rencontrerez l'une des équipes de développeurs les plus interactives de la planète. Chaque mot de ce blog mérite d'être lu. Deux fois.
Autre bonne nouvelle : la suite RSAT Windows 7 contient les mêmes applets de commande Active Directory Windows PowerShell que celles fournies sur Windows Server 2008 R2. Pour voir un exemple, consultez la Figure 2. La meilleure source d'informations est le blog Active Directory PowerShell à l'adresse http://blogs.msdn.com/b/adpowershell/.


Figure 2 : Applets de commande ADPowerShell en action. (Cliquez sur l'image pour l'agrandir)

Vous pouvez utiliser ces applets de commande AD pour gérer des domaines Windows 2003 et Windows 2008, mais vous devrez d'abord installer le service de passerelle de gestion AD (également appelé AD Web Services, ou ADWS) sur au moins un contrôleur de domaine. À la date de rédaction de ce document, ADWS est en phase beta ; vous pouvez le télécharger à partir de connect.microsoft.com.

Le service ADWS requiert Windows Server 2003 SP2 (version de base ou R2) ou Windows Server 2008 (version de base ou SP2). Il vous faudra installer le .NET Framework 3.5 SP1 (http://www.microsoft.com/fr-fr/download/details.aspx?id=22) et un correctif logiciel (http://support.microsoft.com/kb/969429) qui autorise la prise en charge de l'indicateur de service Web dans Netlogon. (Ce correctif logiciel est intégré à Windows Server 2008 SP2.)

Si vous travaillez dans l'une de ces organisations où obtenir une approbation pour des contrôleurs de domaine nécessite un temps infini et une somme d'efforts considérable, et que vous souhaitez commencer à utiliser Windows PowerShell pour gérer Active Directory avant d'atteindre l'âge de la retraite, allez jeter un œil aux applets de commande Active Directory gratuites développées par Quest à l'adresse http://www.quest.com/powershell/.

3. Plongez-vous dans la gestion des licences.

Si votre organisation n'a pas déployé Vista, peut-être ne connaissez-vous pas les dernières exigences Windows en matière d'activation en volume. Si vous êtes administrateur dans une entreprise possédant plus de 25 postes de travail et/ou cinq serveurs, si votre organisation participe à un programme de licence en volume tel qu'un Accord Enterprise ou Select, et si vous achetez Windows 7 Professionnel ou Édition Intégrale (ou si vous effectuez une mise à niveau vers ces versions dans le cadre de la Software Assurance), procédez comme suit : imprimez une petite pile de documents Volume Activation à l'adresse http://www.microsoft.com/en-us/download/details.aspx?id=10249, ouvrez une bonne bière et commencez à étudier.

Une fois que vous vous serez rendu compte que tout est extrêmement confus, téléchargez l'excellent Webcast de la chef de produit Kim Griffiths, qui réussit parfaitement à expliquer les nuances du programme. Ce Webcast est disponible à l'adresse https://msevents.microsoft.com/CUI/EventDetail.aspx?culture=en-US&EventID=1032428921&CountryCode=US.

En bref, pour déployer des postes de travail Windows 7 à l'aide de licences en volume, vous devrez probablement installer un serveur gestionnaire de clés (KMS, Key Management Server). J'utilise le mot "probablement" car vous n'aurez peut-être pas assez d'ordinateurs dans votre organisation pour prendre en charge l'activation KMS. Un serveur KMS ne commence à traiter les approbations d'activation qu'après avoir reçu des demandes d'au moins 25 postes de travail et/ou cinq serveurs. Ceci est destiné à empêcher que des fournisseurs peu scrupuleux n'utilisent la même clé de licence en volume pour plusieurs petits clients. Une fois activé, un client doit se réactiver tous les six mois. Contrairement à ce que vous avez peut-être lu autre part, il n'existe aucun mode de fonctionnalité réduite dans Windows 7. En cas d'expiration de la clé d'activation, l'arrière-plan du Bureau devient tout simplement noir et une bulle de notification signale que le système d'exploitation n'est pas authentique.

Si vous avez moins d'ordinateurs que le nombre requis par un serveur KMS, vous pouvez obtenir une clé d'activation multiple (MAK, Multiple Activation Key) stockée avec les allocations d'activation sur la base du nombre de licences en volume que vous achetez, plus un facteur arbitraire qui vous permet d'ajouter des ordinateurs en cas de besoin. Une clé d'activation multiple est authentifiée par un service hébergé Microsoft; vous devrez donc disposer d'un accès à Internet après l'installation du système d'exploitation.

Une modification apportée à Windows 7 et Windows Server 2008 R2 permet désormais aux ordinateurs virtuels d'être pris en compte lors de la détermination du nombre minimal d'ordinateurs pour l'activation avec serveur KMS. Cela permet d'accroître votre quantité d'ordinateurs si vous travaillez dans un petite magasin qui utilise beaucoup de postes de travail et serveurs virtuels.

Si vous avez déjà un serveur KMS pour Vista et Windows Server 2008, vous pourrez télécharger une mise à jour pour activer des ordinateurs Windows 7 et Windows Server 2008 R2.

4. Concentrez-vous sur les améliorations stratégiques.

Une fois que vous vous êtes familiarisé avec l'administration système à l'aide des outils Windows 7 et que vous avez configuré la technologie nécessaire à l'activation de vos postes de travail, il est temps de commencer à planifier le déploiement des ordinateurs des utilisateurs finaux. À ce stade, il est impératif (je sais que ça ne va pas vous plaire...) d'organiser une réunion.

Attendez. Ne paniquez pas… Il s'agit d'une réunion d'une autre sorte. Vous allez rassembler tous vos cousins informaticiens qui utilisent Windows 7. Pas seulement les architectes. Pas seulement les personnes chargées des postes de travail. Pas seulement l'équipe serveur, ni les techniciens du centre d'assistance, ni les développeurs internes ou les chefs de projet. Il vous faut des représentants de chaque équipe. Un véritable "conseil œcuménique", en quelque sorte. Réservez une journée entière. Précisez à tous les participants potentiels que ce sera une journée à ne pas manquer: seules les éminences grises seront invitées.

Et surtout, avant cette réunion, armez-vous de chiffres. Il est inévitable qu'à un moment donné, quelqu'un va dire : "Il faudrait vraiment qu'on crée un catalogue d'applications d'entreprise utilisable pour les tests de compatibilité. Tous nos ordinateurs peuvent-ils vraiment exécuter Windows 7 ?" Et là, le groupe va passer une heure ou deux à discuter du meilleur moyen d'assembler le catalogue ou de l'impossibilité de cette tâche, ou du fait que Pierre a une feuille de calcul contenant ces informations mais qu'il ne l'a pas actualisée depuis un petit bout de temps et qu'elle n'inclut pas les ordinateurs en Europe, au Moyen-Orient et en Afrique, etc, etc.

Vous pouvez court-circuiter toute cette conversation avec deux outils d'inventaire et d'analyse gratuits. Tout d'abord, Microsoft Assessment and Planning (MAP) Toolkit, disponible à l'adresse http://technet.microsoft.com/fr-FR/solutionaccelerators/dd537566.aspx. Cet outil sans agent recueille des statistiques sur vos postes de travail et génère un rapport indiquant ceux qui sont prêts pour Windows 7, ceux qui nécessitent une mise à niveau matérielle, et ceux qui ne seront jamais prêts quel que soit le nombre de guirlandes et de boules de Noël dont vous les affublerez. L'outil MAP génère de magnifiques graphiques à secteurs pour la Direction (voir Figure 3) et des tonnes de chiffres pour les Responsables informatiques (Figure 4).


Figure 3 : Résumé de l'évaluation de l'outil Microsoft Assessment and Planning Toolkit (Cliquez sur l'image pour l'agrandir)


Figure 4 : Détails de l'évaluation de l'outil Microsoft Assessment and Planning Toolkit (Cliquez sur l'image pour l'agrandir)

Lors de l'exécution de cet outil, ne soyez pas trop restrictif quant à vos exigences matérielles. J'ai écrit le premier brouillon de cet article avec Windows 7 et Office 2007 sur un ordinateur Celeron 1,6 GHz avec 512 Mo de RAM et quelques applications métier exécutées en arrière-plan. Les performances étaient parfaitement acceptables.

Ensuite, chargez Microsoft Application Compatibility Toolkit (ACT) 5.6, disponible à l'adresse http://www.microsoft.com/en-us/download/details.aspx?id=7352 et utilisez-le pour obtenir des statistiques logicielles sur les postes de travail sélectionnés. L'évaluation ACT ne parcourt pas simplement la liste des logiciels installés dans le Registre; elle recherche dans les moindres recoins des applications qui auraient pu être dissimulées par toutes sortes de programmes d'installation hérités. Cette fonctionnalité nécessite un agent local, qui est déployé à partir d'un serveur de gestion ACT et renvoie des rapports périodiques pendant plusieurs jours avant de se désinstaller tout seul.

Comme vous pouvez le voir sur la Figure 5, ACT recueille des données de manière très pointue et assez exhaustive; il vous faudra donc un serveur avec suffisamment de puissance sous le capot. Vous pouvez utiliser SQL Express pour stocker les données, à moins que vous ne souhaitiez inclure plusieurs milliers d'ordinateurs dans l'échantillon. Néanmoins, si vos charges logicielles sont réparties par groupe de travail fonctionnel ou département, vous pouvez sélectionner quelques ordinateurs représentatifs de chaque groupe comme échantillon. Même avec plusieurs dizaines de milliers de postes de travail, vous devriez être en mesure d'en échantillonner deux ou trois pour cent afin d'obtenir un aperçu du travail qui vous attend.


Figure 5 : Rapport d'applications de Microsoft Application Compatibility Toolkit 5.6

Revenons-en à notre grande réunion. Tout doit être parfait. Cassez la tirelire de votre service pour acheter suffisamment de gâteaux et de pizzas pour satisfaire un tyrannosaure affamé. Trouvez une salle avec des tableaux blancs du mur au plafond. Si tout le monde ne peut pas être présent ce jour-là, placez des écrans géants tout autour de la salle de réunion, lancez votre logiciel de vidéoconférence préféré et assurez-vous qu'il y a des microphones et des caméras dans tous les coins.

Durant la première moitié de la réunion, demandez aux participants comment ils utilisent Windows 7 pour améliorer leurs tâches quotidiennes. Demandez-leur ce qui a nécessité le plus long temps d'apprentissage. Écoutez leurs doléances. Sondez tous ces cerveaux à la recherche d'une combinaison de fonctionnalités qui amélioreront matériellement la productivité de vos utilisateurs, renforceront la sécurité, encourageront la mobilité et simplifieront les processus de travail.

Passez la deuxième moitié de la journée à établir les grandes lignes d'un plan de déploiement. Ne perdez pas votre temps à tenter de résoudre les problèmes potentiels de compatibilité, d'interopérabilité ou de processus de travail. Toute organisation qui exécute Windows XP depuis plusieurs années aura forcément développé des procédures un peu, hum, "vieillissantes". Identifiez les problèmes. Classez-les. Passez à autre chose.

Imaginez-vous dans la peau d'un géologue à la recherche d'un nouveau champ de pétrole. Concentrez-vous sur la recherche des grands réservoirs et trouvez comment effectuer l'extraction ultérieurement.

Le résultat de cette réunion sera une feuille de route qui/quoi/quand/où/comment. Vous obtiendrez des réponses aux questions suivantes : Quelles fonctionnalités déploierez-vous ? Qui sera chargé du travail préparatoire ? Combien de temps cela prendra-t-il ? Quels seront les utilisateurs les plus touchés ? Comment obtenir la coopération de ces utilisateurs ? Quel sera le coût du déploiement ? Quels sont les points de défaillance éventuels ? Quelles sont les ressources nécessaires aux tests ? Sans oublier le point le plus important : quand le travail peut-il commencer ? Réduisez tout cela sur cinq diapositives, vendez-les à la Direction et agissez, agissez, agissez.

5. Développez l'étendue de déploiement.

Certaines des meilleures fonctionnalités de Windows 7 peuvent nécessiter quelques modifications de votre infrastructure. Par exemple : tout en haut de ma liste de fonctionnalités préférées figure la combinaison de recherche fédérée et de bibliothèques dans le nouveau shell Explorer. Ces fonctionnalités collaborent afin de fournir une vue centralisée et flexible des données distribuées.

L'élément clé lors de l'utilisation de la recherche fédérée consiste à trouver ou créer des connecteurs à des référentiels de données sur le Web. Un connecteur est un ensemble d'éléments de configuration dans un fichier .OSDX. Ces éléments pointent vers un site Web et décrivent comment gérer le contenu.
Voici un exemple de connecteur Bing :

<?xml version="1.0" encoding="UTF-8"?>
<OpenSearchDescription xmlns="http://a9.com/-/spec/opensearch/1.1/" xmlns:ms-ose="http://schemas.microsoft.com/opensearchext/2009/">
<ShortName>Bing!</ShortName>
<Description>Bing in Windows 7 Search</Description>
<Url type="application/rss+xml" template="http://www.bing.com/search?q={searchTerms}&amp;format=rss"/>
<Url type="text/html" template="http://www.bing.com/search?q={searchTerms}"/>
</OpenSearchDescription>

Lorsque vous cliquez avec le bouton droit sur un fichier .OSDX, Explorer affiche une option "Créer un connecteur de recherche" dans le menu de propriétés. Cliquez dessus pour ajouter le connecteur à la liste d'éléments sous les Favoris. Lancez une recherche du connecteur en le sélectionnant et en tapant des termes dans le champ de recherche, dans le coin supérieur droit de la fenêtre Explorer. En quelques secondes, Explorer remplit le volet de résultats. Cliquez sur Aperçu pour afficher le contenu d'une page sélectionnée. La figure 6 en propose un exemple.


Figure 6 : Connecteur de recherche dans Explorer

La création d'un connecteur est très simple. Essayez de convaincre vos développeurs internes d'en créer quelques-uns pour vos serveurs intranet (portail d'entreprise, batterie SharePoint, et ainsi de suite). Dirigez-les vers la longue liste d'exemples de connecteurs sur SevenForums (http://www.sevenforums.com/tutorials/742-windows-7-federated-search-providers.html), site indépendant extrêmement utile pour tout ce qui concerne Windows 7. Distribuez ces connecteurs à vos utilisateurs à l'aide de vos outils de déploiement de packages standard. Vous pouvez ensuite les utiliser pour générer une vue standard de vos données Web distribuées.

Bien que la recherche fédérée soit capable de gérer le contenu de sites Web sans problème, les organisations rencontrent souvent quelques difficultés lorsqu'il s'agit de se plonger dans plusieurs téraoctets de données sur des serveurs de fichiers. Cela signifie que les utilisateurs n'ayant que des notions de base des mappages de lecteurs et du stockage de données réseau devront peut-être passer plusieurs heures à éplucher leur lecteur W: à la recherche des rapports qu'ils ont rédigés le mois dernier, par exemple.

C'est là qu'interviennent les bibliothèques. Celles-ci rassemblent les fichiers de différentes sources dans des objets disponibles à la recherche. Les bibliothèques par défaut dans Windows 7 incluent l'assortiment habituel d'emplacements et de types de données personnelles (Documents, Musique, Images et Vidéos) et il est très facile d'étendre cette liste de façon à inclure des référentiels basés sur serveur. Il vous suffit de cliquer avec le bouton droit, de sélectionner Nouvelle bibliothèque et d'ajouter un chemin d'accès UNC à un dossier partagé.

Attention : le dossier cible doit être indexé. Sur Windows Server 2008 et versions ultérieures, installez le rôle Services de fichiers. Ensuite, sous Services de rôle, installez le service de recherche Windows. Sur les serveurs Windows Server 2003 SP2, installez Windows Search 4.0, téléchargement disponible gratuitement à l'adresse suivante : http://www.microsoft.com/fr-fr/download/details.aspx?id=13863. En outre, à cause d'une limitation de l'interface de recherche, vous ne pourrez pas spécifier de chemins d'accès DFS même si la cible ultime d'un dossier DFS est un serveur de fichiers indexé.

Il n'existe aucun utilitaire de ligne de commande pour créer des bibliothèques et, à l'heure de la rédaction de ce document, aucune applet de commande Windows PowerShell non plus. Le Kit de développement logiciel (SDK) Windows 7 contient des outils permettant de travailler avec des bibliothèques par programme ; de petits utilitaires ne devraient donc pas tarder à faire leur apparition.

Une petite remarque concernant l'action par défaut des bibliothèques : Explorer affiche les bibliothèques dans la boîte de dialogue de fichier courante afin de permettre aux utilisateurs d'enregistrer des fichiers dans une bibliothèque à l'aide d'une opération glisser-déplacer. Si vous avez plusieurs liens sous une bibliothèque, l'un d'entre eux doit être configuré en tant que cible par défaut.


6. Préparez-vous pour la sécurité distribuée.

Durant votre réunion stratégique initiale, pensez à traiter de la façon dont vous souhaitez gérer les nombreuses fonctionnalités de sécurité distribuée offertes par Windows 7.

Tout d'abord, déterminez si vous souhaitez activer le pare-feu de bureau. Lorsque les pare-feu de bureau basés sur le système d'exploitation ont fait leur apparition dans XP SP1, de nombreuses organisations se sont contentées de les désactiver avec une stratégie de groupe. Le pare-feu fourni avec Windows 7 est beaucoup plus flexible et mérite davantage de considération. Vous pouvez désactiver le pare-feu pendant que l'ordinateur est connecté au domaine et l'activer lorsqu'il est connecté à un réseau domestique/professionnel ou à Internet. Vous pouvez également définir des exclusions granulaires. Essayez une combinaison d'options avec la première vague d'utilisateurs pilotes. Prenez en compte leurs commentaires, ainsi que ceux de votre équipe de sécurité, pour prendre une décision finale concernant les paramètres de pare-feu. Ils sont entièrement configurables à l'aide de la stratégie de groupe.

Ensuite, souhaitez-vous utiliser AppLocker afin de limiter les applications autorisées à s'exécuter sur vos postes de travail ? AppLocker vous permet de dresser une liste d'exécutables approuvés sélectionnables individuellement par hachage de fichier, dans des groupes par emplacement ou dans des groupes par éditeur (autrement dit, signés par le certificat de l'éditeur). Une fois configurées, ces règles sont téléchargées par les clients Windows 7 qui exécutent le service Identité de l'application. À partir de ce moment, seules les applications figurant dans la liste peuvent s'exécuter. Tous les autres exécutables sont forcés à rester sur la touche.

Les autorisations AppLocker étant appliquées par le biais de la stratégie de groupe, cela vous permet de cibler étroitement les règles sur des ordinateurs en fonction de l'unité d'organisation, de l'appartenance à un groupe ou de filtres WMI.

Parcourir une liste interminable d'applications afin de déterminer lesquelles doivent figurer sur une liste AppLocker n'est pas une partie de plaisir, mais vous ne devriez pas en arriver là. La plupart des ordinateurs Métier ont une suite d'applications fixe et limitée. Commencez par là. Après tout, si vous pouvez empêcher les équipes de nuit de brancher des disques mémoire flash dans vos machines de type borne pour exécuter des jeux plutôt que créer des widgets, vous avez déjà résolu quelques problèmes opérationnels. Vous vous occuperez des ordinateurs back office plus tard.

Pour finir, allez-vous protéger vos ordinateurs portables et disques mémoire flash avec le chiffrement ? Si vos directeurs, cadres supérieurs et travailleurs du savoir se baladent dans les couloirs avec des lecteurs de données remplis de propriété intellectuelle précieuse, la réponse est sans hésitation OUI. BitLocker vous permet de chiffrer l'intégralité du disque dur et toutes les données qui s'y trouvent. BitLocker To Go étend ce chiffrement de façon à inclure les disques mémoire flash et autres supports mobiles. Il est impératif de le déployer.

Mais attention : il ne s'agit pas d'activer la stratégie BitLocker dans Stratégies de groupe, de chiffrer un lot de lecteurs et de s'en aller… Comme avec toute autre technologie basée sur le chiffrement, vous devez étudier soigneusement les options disponibles. Ne soyez pas celui dont on racontera pendant plusieurs années l'histoire, comme dans «Vous vous souvenez du moment où le Directeur général s'est retrouvé avec un portable verrouillé une heure avant l'assemblée générale annuelle et que le pauvre <insérez votre nom ici> n'avait pas créé de clé de récupération d'entreprise ?». Il pourrait être judicieux de s'attacher les services d'un conseiller expert dans les domaines de l'implémentation de BitLocker et du chiffrement de lecteur au niveau entreprise. L'essentiel est de ne pas se laisser effrayer par la complexité. L'alternative est encore plus effrayante. Après tout, l'histoire qu'on pourrait entendre pendant des années pourrait être quelque chose comme : «Vous vous souvenez quand on avait une entreprise, avant que le crime organisé ne mette la main sur le portable du Directeur général ?».


7. Virtualisez vos postes de travail.

Imaginez ce qui suit : vous avez passé quelques semaines ou quelques mois à concevoir votre image de bureau Windows 7 standard. Vous avez travaillé dur afin de résoudre les problèmes techniques et avez trouvé comment déplacer rapidement des applications et des données utilisateur d'un ordinateur à un autre, réduisant ainsi l'impact de la migration. (L'outil de migration de l'état utilisateur [USMT, User State Migration Tool], qui fait partie du Kit d'installation automatisée, constitue un bon point de départ pour ce type de travail.) Pour obtenir une démo, rendez-vous à l'adresse http://www.microsoft.com/en-us/download/details.aspx?id=5106.) Vos techniciens sont formés. Vous avez réussi à apaiser l'équipe d'assistance technique grâce à tous les conseils que vous avez publiés sur son site SharePoint. Vous êtes enfin prêt à commencer le déploiement.

Mais attendez une minute. Plutôt que d'installer le système d'exploitation directement sur le lecteur de disque dur de chaque nouvel ordinateur, Windows 7 vous permet d'installer le système d'exploitation dans un fichier de disque dur virtuel (VHD, Virtual Hard Drive) sur le lecteur de disque dur. Le système d'exploitation démarre à partir du contenu de ce VHD, qui devient le lecteur C, puis il voit le disque dur réel comme le lecteur D. Avec une planification correcte, un système d'exploitation installé de cette manière peut devenir hautement portable. Si Pierre déménage de Lille à Marseille, un technicien de Lille peut envoyer le VHD par le biais du réseau à un technicien à Marseille, qui peut alors l'installer sur un ordinateur de sorte que Pierre puisse travailler dans son environnement réseau familier dès sa sortie de l'avion.

Si vous pensez que tout ceci serait synonyme de dégradation des performances, vous vous trompez. Examinez les statistiques d'E/S disque sur le blog de l'équipe de virtualisation à l'adresse http://blogs.technet.com/b/virtualization/archive/2009/05/14/native-vhd-support-in-windows-7.aspx.

Il existe toutefois quelques éléments à noter. Tout d'abord, la mise en veille prolongée ne fonctionne pas sur les ordinateurs à démarrage VHD. Par conséquent, le démarrage VHD peut ne pas convenir aux ordinateurs portables. Ensuite, il est impossible d'effectuer un démarrage VHD sur un lecteur chiffré avec BitLocker, ce qui réduit encore davantage son attrait pour les utilisateurs d'ordinateurs portables.
Il se peut que la complexité liée à la gestion des déploiements VHD soit trop élevée comparée aux avantages qu'ils procurent, mais vous devez au moins les inclure dans votre plan test. Les étapes à suivre sont trop longues pour cet article, mais voici quelques sites à visiter pour obtenir des instructions. Vous pouvez appliquer la méthode de Max Knor, décrite à l'adresse http://blogs.msdn.com/b/knom/archive/2009/04/07/windows-7-vhd-boot-setup-guideline.aspx, qui implique un démarrage à partir du CD-ROM d'installation de Windows 7, un passage par une invite de commandes, la création du VHD, puis son utilisation comme cible du programme d'installation ; très intelligent. Vous pouvez suivre les instructions détaillées sur le site TechNet à l'adresse http://technet.microsoft.com/en-us/library/dd744338%28WS.10%29.aspx, ou encore regarder la vidéo TechNet suivante : http://www.microsoft.com/en-us/download/details.aspx?id=1160.

Une fois que vous vous serez familiarisé avec ces techniques, allez voir ce que Kyle Rosenthal, du blog Vista PC Guy, propose comme instructions pour l'utilisation des outils WinPE pour la génération d'images. Par exemple, les étapes à l'adresse http://www.vistapcguy.net/?p=71 montrent comment créer un disque mémoire flash démarrable avec les outils WinPE et comment y créer une image d'installation. Armé de cet outil, vous pourrez installer rapidement votre image standard sur un ordinateur sans toucher un morceau de plastique.


8. Évaluez les fonctionnalités d'entreprise.

Le démarrage VHD, tout comme BitLocker et AppLocker, appartient à une classe de fonctionnalités qui requièrent Windows 7 Entreprise ou Édition Intégrale. Le SKU Édition Intégrale peut être obtenu uniquement via un contrat de licence en volume. Si vous possédez la version Entreprise ou Édition Intégrale, il peut être souhaitable de déployer quelques fonctionnalités supplémentaires afin d'améliorer la sécurité et d'optimiser les opérations.

BranchCache vous permet de mettre en cache les transferts de fichiers soit sur un serveur central dans une succursale, soit dans le cadre d'un réseau de postes de travail pairs. Lorsqu'un client initie un transfert de fichier, il vérifie d'abord si le fichier est mis en cache localement et si le hachage de fichier correspond au hachage au niveau de la source faisant autorité. Si c'est le cas, il copie le fichier à partir du cache. Cela permet d'accélérer les opérations pour les utilisateurs et de réduire la charge réseau sur le réseau étendu (avantage qui plaira sans doute beaucoup aux techniciens chargés de l'entretien du réseau ; si si, il leur arrive de sourire de temps en temps…). Je vous conseille vivement d'essayer BranchCache durant vos tests pilotes afin d'évaluer les avantages que pourraient en tirer votre combinaison d'applications et le trafic de fichiers associés.

Ensuite, vous pourriez pousser encore plus loin la quasi-virtualisation VHD dont nous avons discuté dans la section précédente et implémenter une virtualisation réelle en déployant une infrastructure de bureaux virtuels (VDI, Virtual Desktop Infrastructure) sur des serveurs Windows Server 2008 R2. Dans une infrastructure VDI, chaque session de bureau existe en tant qu'ordinateur virtuel distinct et les utilisateurs se connectent par le biais du protocole RDP. Cette configuration contraste avec les services Terminal Server, méthode de publication de bureaux plus connue selon laquelle tous les utilisateurs évoluent dans le même pool d'images d'applications. Avec les services Terminal Server, si quelqu'un fait une bourde, tout le monde en subit les conséquences. (Si vous avez vu le film « Caddyshack », vous voyez ce que je veux dire.) Vous pouvez également éviter toute interaction malheureuse sur un serveur Terminal Server en virtualisant vos applications. Pour plus d'informations, voir les outils App-V fournis dans le pack d'optimisation MDOP (Microsoft Desktop Optimization Pack).

Une infrastructure VDI peut être un peu coûteuse. Le coût lié à la prise en charge des bureaux virtuels des utilisateurs avec mémoire et accès réseau sur un serveur peut excéder le coût des PC. En revanche, pour ce qui est de la récupération après sinistre dans un environnement de bureaux distribués, il n'existe pas de meilleure protection.

Une autre fonctionnalité de la version Entreprise, DirectAccess, permet aux utilisateurs de se connecter par le biais d'une passerelle Windows Server 2008 R2 au réseau d'entreprise sans recourir à un réseau privé virtuel. Un utilisateur assis dans une salle d'attente d'aéroport peut ouvrir son netbook EVDO et accéder immédiatement à des documents stockés sur des serveurs d'entreprise. Mais il vous faudra peut-être un peu de temps pour vendre cette fonctionnalité à votre équipe de sécurité (eux, par contre, ne sourient jamais…).


9. Tissez des filets de sécurité de compatibilité.

L'un des aspects dont il vous faudra obligatoirement parler lors de votre réunion avec les gros légumes de l'entreprise concerne le déploiement de postes de travail 64 bits. Votre entreprise est-elle prête pour cela ? Les nouveaux ordinateurs déployés dans le cadre d'un cycle d'actualisation seront selon toute vraisemblance compatibles 64 bits. Vous leur affectez probablement au moins 2 Go de RAM au tarif actuel, et sans doute même 4 Go si vous avez réussi à convaincre le service financier d'approuver les coûts unitaires légèrement plus élevés. Ces ordinateurs sont sans doute équipés de processeurs double-cœurs, peut-être même quad-core, avec suffisamment de mémoire vidéo pour exécuter Aero. Ils fonctionneront parfaitement avec un système d'exploitation 64 bits.

Même si toutes vos applications commerciales et Métier actuelles sont encore 32 bits, il est plus logique d'installer la version 64 bits de Windows 7, ne serait-ce que pour rentabiliser votre investissement à long terme. Il est clair que le monde informatique évolue vers la norme 64 bits ; il vaut mieux être prêt lorsque les éditeurs de logiciels décideront d'abandonner la compatibilité descendante.

Si vous décidez de déployer des postes de travail 64 bits, effectuez des tests rigoureux sur les pilotes de périphériques, les suites antivirus, les agents de gestion, et ainsi de suite. Si vous avez des serveurs d'impression 32 bits, vous devrez remplir les files d'attente d'impression de pilotes 64 bits. En guise d'alternative, vous pourriez déployer de nouveaux serveurs d'impression x64 Windows Server 2008 ou R2 et remplir les deux jeux de pilotes à mesure que vous générez les files d'attente. L'Assistant Migration d'imprimante de Windows Server 2008 R2 pourra vous aider lors de cette tâche. Cela vaut la peine de déployer de nouveaux serveurs d'impression R2 car le modèle d'impression a été amélioré de façon à maintenir les pilotes dans leur propre espace mémoire, ce qui évite qu'un pilote défectueux ne rende inutilisable l'ensemble du spouleur.

Le facteur le plus imparable auquel vous pourriez faire face est la nécessité d'exécuter des applications 16 bits héritées, qui ne peuvent pas s'exécuter sur un hôte 64 bits. Dans ce cas, la meilleure solution consiste à utiliser une ruse que ma grand-mère qui habite à Boulogne-sur-Mer utilise depuis quarante ans pour faire pousser ces tomates : créer un environnement qui fait croire aux plants de tomates qu'ils sont dans l'Hérault plutôt que dans le Pas-de-Calais. Autrement dit : utiliser le mode XP pour mettre une instance de x86 XP SP3 sur votre poste de travail x64 Windows 7.

Les applications installées sur l'ordinateur virtuel en mode XP peuvent être lancées à partir du menu Démarrer de Windows 7 (Figure 7) comme si elles étaient installées de manière native ; ainsi, les utilisateurs ne seront pas perturbés par deux univers différents. (Cette astuce provient en fait d'un correctif logiciel RAIL spécial, et non directement du mode XP ; vous pouvez donc appliquer la même procédure via le menu Démarrer en installant le correctif RAIL, puis en exécutant Virtual PC avec Vista ou Windows 7 32 bits, si vous le souhaitez.)


Figure 7 : Liste des applications en mode XP dans le menu Démarrer

Par défaut, l'ordinateur virtuel en mode XP s'exécute sous un compte local à l'intérieur de l'ordinateur virtuel. Le compte se nomme Utilisateur. Vous définissez le mot de passe de ce compte lors de l'installation et il est configuré de façon à ne jamais expirer. En guise d'alternative, vous pouvez lancer l'ordinateur virtuel et le joindre au domaine, puis ouvrir une session avec vos informations d'identification de domaine. Vous pouvez lancer le Gestionnaire système Exchange d'Exchange 2003 en mode XP avec les anciens outils d'administration pour disposer d'un environnement d'administration entièrement compatible. Et j'ai oublié de mentionner la possibilité d'effectuer des copier/coller transparents entre l'hôte et les ordinateurs virtuels. Intéressant, non ?
Le mode XP requiert une virtualisation matérielle, Intel VT ou AMD-V. Steve Gibson de Laguna Hills, Gibson Research Corp. (célèbre pour SpinRite et ShieldsUP) propose un utilitaire gratuit nommé SecurAble (http://www.grc.com/securable.htm) qui vous indique rapidement si un ordinateur répond aux critères. Pour obtenir un exemple de rapport SecurAble, voir la Figure 8.


Figure 8 : Rapport SecurAble de Gibson Research Corp.

Si vous avez plusieurs centaines ou milliers de PC, il vous faut un package de gestion centralisée pour gérer cet environnement secondaire. Il s'agit de Microsoft Enterprise Desktop Virtualization (MED-V), composant du pack d'optimisation MDOP (Microsoft Desktop Optimization Pack). Au niveau du client, MED-V 2.0 fonctionne de manière semblable au mode XP en installant un ordinateur virtuel qui requiert la prise en charge de la virtualisation au niveau matériel. Du côté serveur, MED-V offre différents outils pour la création et le déploiement de packages sur les ordinateurs virtuels. Pour plus d'informations, consultez le message de blog d'équipe Windows à l'adresse http://blogs.windows.com/windows/b/business/archive/2009/04/28/how-med-v-v2-helps-you-manage-windows-xp-mode.aspx.


10. Supprimez les droits d'administrateur local de vos utilisateurs.

Si vous n'avez pas encore privé vos utilisateurs des droits d'administrateur local, le moment est venu. Oui, je sais que c'est difficile. Les utilisateurs de portable sont particulièrement difficiles à sevrer, car le service d'assistance ne peut pas les guider lors des étapes de résolution de problèmes complexes par téléphone. Mais il y a aussi cette organisation informatique qui travaille « dans l'ombre » ; des gourous de service et aspirant administrateurs qui trouvent des applications qui répondent à certains besoins tactiques, puis bricolent et installent ces applications sans se soucier d'effectuer des tests d'interopérabilité. Et je ne parlerai même pas des cochonneries que les utilisateurs moyens installent sur leur ordinateur lorsqu'ils disposent de droits d'administrateur local. C'est incroyable la façon dont les utilisateurs les plus « basiques », incapables même de réinitialiser leur mot de passe sans l'assistance du service de support technique, trouvent toujours un moyen d'installer des applications frontales complexes client-serveur multiniveaux si la récompense a quelque chose à voir avec le shopping ou le sport.

Même si à force de pressions politiques vous réussissez à priver la plupart des utilisateurs des droits d'administrateur local, dès que vous supprimez ces droits des applications commencent à ne plus fonctionner correctement. Une quantité incroyable d'applications insistent pour écrire sur des parties protégées du système de fichiers et du Registre.

Windows 7 simplifie le basculement vers le mode d'opération « utilisateur standard ». Les processus d'arrière-plan redirigent les modifications vers des zones contrôlées par l'utilisateur, plutôt que vers des zones protégées. Cette simple fonctionnalité devrait résoudre une grande partie des problèmes que vous avez peut-être rencontrés avec le mode d'opération « utilisateur standard » sur Windows XP. Il existe également certaines améliorations simples mais précieuses qui aident les utilisateurs standard, comme la capacité à changer de fuseau horaire, tâche qui exigeait des droits d'administrateur local dans XP et Vista. Même chose pour la modification de la résolution de l'écran, l'exécution d'une commande ipconfig /refresh pour obtenir une nouvelle adresse DHCP et l'installation de mises à jour facultatives.

Application Compatibility Toolkit (ACT) contient un Assistant Analyseur pour utilisateur standard (SUA, Standard User Analyzer) qui vous aidera à faire le tri parmi vos applications. SUA fournit une plateforme de lancement à privilèges élevés pour une application. Ensuite, pendant que l'application s'installe et s'exécute, SUA fouille un peu partout à la recherche de problèmes subtiles qui pourraient l'empêcher de continuer à s'exécuter en tant qu'utilisateur standard. Une fois cette vérification terminée, vous recevez un bilan de santé pour l'application, avec éventuellement une liste des problèmes auxquels remédier.

Pendant que vous téléchargez ACT, profitez-en pour télécharger Application Verifier à l'adresse http://www.microsoft.com/en-us/download/details.aspx?id=20028#filelist. Cet outil est utilisé par l'Assistant SUA et n'est pas inclus dans le package ACT. Veillez également à bien lire la documentation d'ACT 5.5. Vous y trouverez une mine d'informations précieuses concernant les problèmes de compatibilité et les correctifs. Sans oublier le numéro de juin 2009 de TechNet Magazine, qui traite en profondeur de la compatibilité des applications.

Mais qu'en est-il des utilisateurs qui ont absolument besoin de droits d'administrateur local, tels que les administrateurs, développeurs et autres utilisateurs ayant suffisamment d'influence pour se faire réintégrer dans le groupe Administrateurs local ? Tenez-vous vraiment à ce que ces utilisateurs mettent leur nez partout avec des privilèges illimités ? J'espère que votre réponse est « non », et c'est pourquoi le Contrôle de compte d'utilisateur (fonctionnalité tellement décriée) devrait être votre ami. Mark Russinovich a récemment écrit un article détaillé à ce sujet ("Au cœur du contrôle de compte d'utilisateur Windows 7" dans TechNet Magazine de juillet 2009). Avant de placer le curseur de Contrôle de compte d'utilisateur vers le bas pour le désactiver, allez donc lire cet article.


Vous pouvez être un héros (pendant plus d'une journée)

La préparation et le déploiement de Windows 7 prennent du temps, mais ces tâches seront facilitées si les utilisateurs souhaitent vraiment passer au nouveau système d'exploitation. Ceux qui l'ont essayée ont apprécié la nouvelle interface utilisateur. Ils ont aimé la finition, la réactivité et les nouvelles fonctionnalités.
L'opportunité d'accroître notre popularité en tant qu'administrateur système ne se présente pas chaque matin. Je vais en profiter tant que ça dure. Faites-en de même. Bonne chance pour votre déploiement de Windows 7. Dites-moi si tout a marché comme sur des roulettes.

Issu du Technet Magazine Oct. 2009 par Bill Boswell.