¿Que tiene ese 7 que no tengo yo?

Adquirir Windows 7 Professional OEM preinstalado en los equipos, permite a las organizaciones utilizar muchas características de este sistema operativo, pero no todas. Numerosas veces me han preguntado las razones para comprar (y pagar por segunda vez por el Windows que utilizarán las PC), Windows 7 Enterprise. No es fácil responder a esto, ya que son muchas características y derechos adicionales que tenemos sobre el sistema operativo con la versión Enterprise.


Nuevas Características

BranchCache: Permite reducir el tiempo de espera en la descarga de documentos en Servers centralizados desde una ubicación remota, compartiendo entre los equipos la información previamente cacheada.

DirectAccess: Les da movilidad a los usuarios permitiendo (según defina el Administrador) el acceso a la red corporativa cuando están conectados a Internet, sin necesidad de iniciar una conexión VPN. También permite a los Administradores configurar o actualizar el equipo como si estuviera en la red corporativa.

Bitlocker y BitlockerToGo: Ayuda a proteger la información en los HD o discos removibles encrestándolos. Además permite la administración de claves de recuperación almacenándolas en Active Directory.

AppLocker: Especifica qué software puede ejecutar el usuario en el equipo. Permite ser configurado por GPO, lo que le da facilidad de configuración y flexibilidad. 

Soporte Multilenguaje: Ofrece la posibilidad de crear una única imagen del sistema operativo pudiendo ser distribuida en diferentes lenguajes.

Inicio desde VHD: El sistema operativo puede iniciar desde VHD (Virtual Hard Disk) nativamente en lugar de utilizar un HD.

VDI Rights: Con Windows 7 Enterprise están cubiertas las licencias de Sistema Operativo Desktop que ejecutemos en el datacenter como parte de una infraestructura de VDI


Sumando SA

Cuando se adquiere Windows 7 Enterprise, podemos sumarle Software Assurance (SA). El beneficio directo de SA, es que si una nueva versión de Windows Client es lanzada al mercado, podremos utilizarla sin costo adicional. Otro beneficio de SA es la posibilidad de utilizar Windows ThinPC. Windows TPC es una versión reducida de Windows 7 optimizada para usarse como ThinClient en PC antiguas que forman parte de la infraestructura de VDI. Al tener SA tenemos la posibilidad de adquirir MDOP (Microsoft Desktop Optimization Pack), un conjunto de 6 aplicaciones que nos permiten reducir los costos de mantenimiento, extender la flexibilidad y simplificar la administración de nuestros desktops mediante la virtualización de aplicaciones, el manejo avanzado de GPO y la utilización de herramientas de recuperación.

Clonado de equipos

Para poder realizar clonado de equipos es necesario poseer lo que se llama “ReimagingRights”, que se adquiere junto a la versión Enterprise de Windows 7. Adicionalmente, para realizar el clonado de un equipo con Windows, es necesario ejecutar Sysprep. No está de más recordar que la ejecución de Sysprep en un equipo OEM no está soportada.

Simplicidad en el manejo de claves de activación

Con Windows 7 Enterprise, podemos utilizar la activación KMS con la cual automáticamente se activan los equipos del dominio conectados en nuestra red. También podemos desactivarlos si pasado un cierto tiempo no se comunican con nuestra infraestructura. La clave de producto deja de estar unida al equipo físico (Como ocurre en los equipos OEM), por lo que podemos sumar equipos a la organización sin preocuparnos por la activación y la clave que utiliza cada uno.

Flexibilidad de utilización

Con los equipos OEM, la licencia esta unida al hardware físico para el cual se compra esa licencia. Si el equipo es robado o destruido, la licencia corre la misma suerte ya que no puede ser transferida a otro hardware. Con Windows 7 Enterprise, podemos renovar nuestro parque de PC y continuar utilizando las mismas licencias.


No hay duda de que Windows 7 tiene varias características avanzadas, pero para aprovechar por completo la flexibilidad, seguridad, simplicidad de administración y despliegue, es necesario contar con Windows 7 Enterprise.Para aprender mas...

MDOP
Windows ThinPC
Windows 7 Enterprise
Reimaging Rights

Casos no soportados de DFS

Existen dos casos de uso frecuente con DFS (Distributed File System), aunque ninguno de ellos está soportado.

Con DFS-R (Replication) es habitual querer configurar una de las dos réplicas como de solo lectura, pero esa práctica no está soportada en Windows Server 2008 o versiones anteriores. Realizar este tipo de configuraciones puede llevar a problemas de verificación de topología, stagging o problemas en la base de datos de la replicación.

En caso de que se necesite soporte por problemas de replicación, es frecuente que uno de los primeros pasos a realizar sea habilitar la replicación en ambos sentidos, una de las prácticas más acostumbradas cuando se quiere dejar una réplica de lectura solamente.

Con Windows Server 2008R2 se permite crear una réplica DFS-R ReadOnly, por lo que esta práctica queda soportada a partir de esta versión.

En el caso de un Windows Server 2008 RODC, en el que la carpeta SYSVOL está replicada por DFS-R en lugar de FRS, los cambios se permiten en la carpeta SYSVOL pero son sobrescritos cuando un DC replica dicha carpeta. En un Windows Server 2008R2 RODC, la carpeta SYSVOL es de solo lectura, de modo que no pueden realizase cambios.

Con DFS-N (Namespaces) es usual utilizar un mismo nombre para la ubicación en la red en la cual se guardan los perfiles de usuarios, lo que posibilita que si un usuario cambia de ubicación geográfica puede ir a buscar su perfil de red al servidor que tenga la copia más cercana.  Esta práctica no está soportada, ya que si se permite al sistema operativo que localice el perfil en dos ubicaciones diferentes (que probablemente no estén del todo sincronizadas por problemas de replicación o por la propia demora configurada en DFS-N), puede corromperse el perfil del usuario. 

Para aprender más…
DFS-R en Technet

DFS-N en el blog de Askds

Codecamp 2011

Se viente Codecamp 2011!

Muchas sesiones con temáticas diferentes.

Les dejo el banner para anotarse!!!

Registro a CodeCamp 2011

  

Impedir ejecución de programas con AppLocker

AppLocker es una de las nuevas características de Windows 7 Enterprise (y también presente en Ultimate). Applocker permite bloquear la ejecución de aplicaciones si no están previamente autorizadas dentro del entorno organizacional.

Cuando queremos ejecutar por primera vez AppLocker, el asistente nos ofrece la creación de 3 reglas predeterminadas:

1-Un administrador del equipo puede ejecutar cualquier archivo
2-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %Windir%
3-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %ProgramFiles%

Con estas tres simples reglas, ya podemos evitar la ejecución de portables, programas que se encuentren en ubicaciones remotas o fuera de los directorios predeterminados de instalación.

Es importante aclarar que todo lo que no esté autorizado por AppLocker, esta negado de forma predeterminada. Además de tener el permiso de AppLocker, el usuario necesita los permisos de NTFS o autorización propia de la aplicación para ejecutarse.

Para mostrarlo en funcionamiento, vamos a explicar un caso que sucede en muchas organizaciones: Con la finalidad de evitar el crecimiento de bases de datos que no estén normalizadas, estas deben correr en los servidores SQL Server. La bases de datos en motores que se ejecutan en equipos cliente no debían utilizarse salvo en los casos excepcionales, por lo que se busca evitar la utilización de MS Access. También es necesario que la imagen corporativa utilizada para instalar los equipos incluya MS Access en todos los equipos, ya que un usuario debería poder cambiar de equipo y continuar utilizando los programas que necesita. Como último requerimiento, el mantenimiento de quien utiliza o no MS Access debe ser simple, por lo que una membresía de un grupo de seguridad debe poder controlarlo.

El procedimiento que seguimos es el siguiente:

-Creación de un grupo de seguridad de Windows llamado “Access Users” desde la consola de ADUC (Active Directory Users & Computers), PowerShell o cualquier otro método de preferencia.

-En la consola de “Manage Group Policies”, creamos un nuevo objeto al que llamamos AppLocker (Fig 1) y lo editamos (Fig 2), seleccionando: Computer Configuration, Policies, Windows Settings, Security Settings, Application Control Policies, AppLocker, Excutable Rules y finalmente Create New Rule.

Fig 1

Fig 2

-Las reglas pueden basarse en una ubicación específica, el hash de un archivo o un certificado digital. Para nuestro caso, utilizamos la opción de certificado digital al ser un archivo firmado digitalmente.

-En las opciones de Permissions, seleccionamos "Allow" y el grupo de seguridad que creamos previamente. En Conditions, seleccionamos "Publisher", "Next", "Browse..." y seleccionamos el archivo al que queremos aplicar la regla (este local o en un equipo remoto). Adicionalmente seleccionamos "Use Custom Values" para que no se pueda utilizar ninguna version menor a 16 (Office 2010 es la versión 14, por lo que la 16 aún ni existe!) (Fig 3)

Fig 3

-Ante la creación de una nueva regla, el asistente nos consulta sobre la creación de las reglas predeterminadas (Fig 4), a lo que respondemos que sí (las reglas explicadas al inicio de este artículo).

Fig 4

-Ahora debemos quitar MS Access de la regla por default que permite que todos ejecuten cualquier programa instalado en %programfiles%. Para lograrlo, seleccionamos la regla a modificar, pulsamos el botón secundario y seleccionamos "Properties" y el en tab de "Exceptions" (Fig 5), seleccionamos MS Access de forma similar a como hicimos cuando creamos la regla en el paso anterior.

Fig 5

-Por último, para que AppLocker funcione e impida la ejecución de los programas, el servicio "Application Identity" debe estar en ejecución. En nuestro ejemplo, lo activamos en el mismo GPO (Fig 6).

Fig 6

Solo nos resta ir a un equipo con MS Access y probar que pasa cuando un usuario intenta ejecutarlo (Fig 7).

Fig 7

 Si el usuario tiene permisos de ejecución (En nuestro ejemplo, que sea miembro del grupo de seguridad "Access Users"), podra utilizar MS Access de forma transparente.

De esta forma, no importa en cual equipo este autenticado el usuario, solo podrá utilizar MS Access si pertenece al grupo de seguridad correspondiente.

AppLocker puede funcionar también en modo auditoría por lo que solamente crea un evento en el log del sistema. Finalmente AppLocker puede impedir la ejecución de instaladores y scripts.

Para aprender más…
AppLocker en Technet

Primeras imagenes de Windows 8

Les dejo unas primeras imagenes de Windows 8 corriendo en mi equipo.

Imagen del escritorio de Windows 8 e IE10 (Metro Style) con el perfile de Juanjo en Facebook



Escritorio e IE 10 (tradicional) con un video de Queen en Youtube y la aplicación Weather mostrando el estado del tiempo en vivo

Nuevo menu de inicio

Escritorio tradicional de Windows con el nuevo Task Manager

Para probarlo ya mismo esta este link de donde se lo pueden bajar. Recuerden que es una preview que aún no está ni en estado de Beta.

Windows 8 se asoma

Hoy 13 de Septiembre en el evento Build, Microsoft mostró por primera vez en forma pública Windows 8 corriendo en vivo.

La promesa era ejecutar los mismos binarios en cualquier dispositivo, por lo que se mostró Windows 8 corriendo en netbooks de hace tres años, portátiles,teléfonos ,desktops, equipos con tres placas de video corriendo en paralelo y notebooks que aún no salieron al mercado, pero que son más delgadas que un conector RJ45. Adicionalmente, se espera que cualquier equipo que hoy ejecute Windows 7 se pueda utilzar para ejecutar Windows 8, por loque esta nueva versión sóloocupa 300 megas en un equipo con una instalación limpia y 1 GB de memoria (un 25% menos que Windows 7 Sp1).

Todo el código que seejecuta en Windows 7 se podrá utilizar en Windows 8. En las demos se mostró cómo modificar las aplicaciones actuales parapoder utilizar los sensores del hardware y el nuevo look & feel: MetroApps. Con Metro Apps, las aplicaciones podrán ser aplicaciones Web oaplicaciones ricas, lo cual resulta indiferentepara la experiencia del usuario.

Además de Windows 8 se mostraron versiones de Visual Studio, Expression Blend eInternet Explorer 10, este último vendrá incluido en el sistema operativo.

Con respecto a las cararterísticas del nuevo Windows, se mostró la nueva interface de copia de archivos (ya anticipada en el blog oficial de Windows 8), el mejorado ahorro de energía, la posibilidad de compartir archivos entre diferentes equipos para accederlos conprotocolos firewall-friendly, la selección multi-touch y picture-password, lo que nos permite ingresar un password basado en una fotografía y pulsar en puntos específicos para poder indentificarnos.

Aunque el movimiento de las pantallas ya es muy veloz y fluido cuando se maneja con el touch-screen, hay que recordar que no se trata de la versión final: aún es una Developer Preview, luego vendrá una versión Beta, otra RC (ReleaseCandidate) y una RTM (Ready to Manufacture), antes de la GA (General Availability), que pondrá a Windows 8 a disposición de todos.

Dos eventos en el MUG

El día Miércoles 27 de Julio de 18:30 a 21:30, en el MUG (Microsoft User Group) de Argentina hay un evento gratuito donde voy a presentar una introducción del tema de Virtualizacion.

Entre otras cosas vamos a ver:
-¿Qué es Virtualizar?
-Oferta de Virtualización
-Virtualización de SO, Aplicaciones y Estado del usuario
-Herramientas de Virtualización.

En día 1 de Agosto de 18:30 a 21:30, también en el MUG (Microsoft User Group) de Argentina hay un evento de IPV6 que estará presentando Rodrigo De Los Santos.

Les dejo los dos links para que se anoten!
Introducción a la Virtualización
Descubriendo IP V6