Het

Nieuwe Werken

De optimale

werkplek

Windows Vista en Office 2007Notes from the fieldErvaringen uit de praktijk

Raymond P.L. ComvaliusIT Infrastructuur SpecialistRaymond.Comvalius@invendows.nlInvendows B.V.

Agenda

• Introductie• Business Case• Ontwerp keuzes• Invloed op de infrastructuur• Lessons Learned

Zelfstandig Consultant, Trainer en Auteur

Specialisaties:Windows Server and ClientClusteringSecurityScripting (VBScript)Veel meerBlog: www.xpworld.comEditor op www.bink.nu

Raymond Comvalius

Publicaties

- Windows Vista for XP Professionals (EN en US)– www.vistaforxpprofessionals.com

- Handboek Windows Security

Agenda

• Introductie• Business Case• Ontwerp keuzes• Invloed op de infrastructuur• Lessons Learned

Business Case

- Een bank- Het nieuwe werken- Overal altijd en wanneer je maar wilt- Vrijheid voor eindgebruikers

– Mobiel– Draadloos– VPN

- Losmaken van de applicatie laag- Behoud van het beveiligingsniveau

12

HP Global Method

IT

Technicalview

Functionalview

Businessview

Implementationview

Kom naar de HP C&I stand tijdens de Partner Connectie lunch carrousel om te horen welke obstakels je tegenkomt bij het optimaliseren van de werkplek en hoe je die kan overwinnen.

Business

Business/IT “Synchronization”

Keuze voor Windows Vista en Office 2007

- Waarom wel• Beveiliging• Mobiele werkplekken• Deployment• Beheer• Features die op XP van 3rd parties komen

- Waarom niet• Grote images• Hardware eisen• Training voor IT personeel• Een platform erbij• Nieuwe document formaten

Agenda

• Introductie• Business Case• Ontwerp keuzes• Invloed op de infrastructuur• Lessons Learned

Keuzes (functioneel en technisch)

- Hoe open is een “open werkplek”?- Welke versie van Windows Vista- Welke talen- Applicaties- Wat blijft 3rd party software en wat niet?- Welke testomgeving?

• Deployment• Functionaliteit

Wat is “vrijheid”

- Cliffhanger: zelf applicaties installeren- White listing, black listing of niets doen- Hoe betrouwbaar is Anti malware?- Gebruiker als lokale Administrator?- Zelf drivers installeren?- Thuis (nog) meer vrijheid?

Welke versie van Vista?

Windows BitLocker Drive Encryption

All worldwide interface languages

License for Virtualization

Volume License (also for Business Edition)

See what’s in each edition: Windows Vista Enterprise Highlights

18

Welke versie van de Office 2007 Suite

Standard

Small Business

Professional Plus

Enterprise

OneNote √

Access √ √

Groove √

InfoPath √ √

Publisher √ √ √

Communicator √ √

• Versies met Volume Licensing

Talen

- Vista en Office 2007 zijn taalneutraal ontwikkeld- Patches doen het altijd- Service Pack = SP + LP Update- Taal kan achteraf toegevoegd/gewisseld- Extra taal in image => groooot image- Default profiel op netwerk blijkt lastig- App-V (SoftGrid) client < versie 4.5 werkt alleen op EN-US

Applicaties

- Standaard applicaties lokaal in image• Office 2007• Acrobat Reader• Antivirus• Flash• Java VM• Silverlight• Adobe Reader• DVD Codec

- Business applicaties op Terminal Server- Overige applicaties met App-V- Virtuele Desktops

– Voor outsourced personeel en externen

3rd party of niet?

- BitLocker- Windows Firewall- Remote Assistance- Remote Desktop

Testomgeving

- Deployment netwerk– Virtualisatie!

- Functioneel en technisch testen met OTAP– Netwerk– Applicaties– Externe koppelingen– Interactie met bestaande componenten

Agenda

• Introductie• Business Case• Ontwerp keuzes• Invloed op de infrastructuur• Lessons Learned

Infrastructurele invloed

- Product Activatie- Deployment Tooling- BitLocker- Policies- User Profiles- Offline files- Windows Firewall

25

Product Activatie

- Activatie voor iedere installatie!- Key Management Server (KMS)

– DNS aanpassingen– Minimaal 25 fysieke clients– Max. 210 dagen zonder netwerk

- Multiple Activation Keys (MAK)- Dilemma:

– Testomgevingen– Virtuele machines

- Altijd 30 dagen Grace Period (4x)

Initial Grace Period (OOB)

Unlicensed or Non-Genuine

(RFM)

Licensed (Activated)

Out of Grace

Non-Genuine Grace

30 days

Hardware change or KMS expired (210 days)

3 or 30 days 30 days

Non valid key

26

Microsoft Deployment Toolkit

- Tools voor het geautomatiseerd bouwen van een image- Geschikt om (met WDS) naadloos naar SCCM of SMS op te

schalen

27

Deployment tooling

- RIS werkt niet meer (Upgraden naar WDS)- SMS2003 SP3 met OSD feature pack- SCCM 2007- 3rd party deployment (bijv. Altiris)- CD of DVD deployment

28

BitLocker

DATA

Full Volume

Encryption Key

(FVEK)

Volume Master

Key

(VMK)

TPM

TPM+USB

TPM+PIN

USB Key(Recovery or Non-

TPM)

TPM+USB+PIN

29

BitLocker

- Activatie van BitLocker– Relatief veel handwerk

- BitLocker Recovery Key– In Active Directory– Op USB stick– Op papier– Custom oplossing

- Let op bootable CD’s– Tijdens activatie BitLocker– Pas de BIOS aan!

- Jammer dat er geen policy voor is- Recovery Keys in AD is niet Enterprise ready (al heb je ze

bijna nooit nodig).

30

Policies

- Beheer met Vista of Windows Server 2008- Group Policy Preferences vervangen logon scripts- Logon scripts in achtergrond

– Low Prio CPU– Low Prio I/O

- Session 0 isolation

- Leuke nieuwe features:– Group Policy Client Service– Group Policy Eventlog– WiFi configuratie– Device driver installatie – Windows Firewall

31

User Profiles

- Ieder gebruiker een nieuw v2 profile– Username.v2 folder– ACLs op de profile share

- Nieuw v2 Default Profile- Goed moment voor folder redirection (kleinere profiles)

– (My) Documents– Desktop– Favorites– Pictures– Downloads

32

Offline Files

- Eindelijk werkt het!– Background sync– Alle extensies syncen

- Let op server configuratie

33

Windows Firewall

- Eindelijk een complete firewall- Filtering voor inkomend en uitgaand verkeer- Logging ingebouwd- Default geen inkomend verkeer toegestaan

– Ook geen ping!- Te beheren vanuit Group Policy- Automatische netwerk detectie- Regels per profiel:

– Private– Domain– Public

- “Domain profiel is niet te foppen”

Agenda

• Introductie• Business Case• Ontwerp keuzes• Invloed op de infrastructuur• Lessons Learned

Lessons Learned

- User Account Control (UAC)- Driver deployment- Driver installatie control- IE Protected Mode

36

User Account Control

- Niet storend in een Enterprise omgeving– Tenslotte is toch niemand admin (?)

- Twee opties voor gebruiker die rechten vraagt:– Access Denied– Username/Password

- Installatie van applicaties/drivers gaat soms fout- Remote Assistance

39

Driver Deployment

- Lastige materie!- Driver share

– Toch niet alles bij elkaar– Differentiëren per hardware type

- Drivers wordt niet gestandaardiseerd geleverd door OEMs– Inf based (mooi te integreren)– Exe base (Als applicatie behandelen)– Post install soms lastig

- Lokale Driver Store gaat atijd voor

40

Driver Installatie Control

- Aanpassingen mbv Policies– Geen drivers voor Bluetooth interfaces– Standard Users mogen drivers installeren voor:

• Printers• Scanners• Webcams• Pen tablets en muizen• Smartcard readers

41

IE Protected Mode

- Intranet sites met plug-ins moeten vaak “Trusted Sites” zijn- Gevolg: apart venster voor Intranet sites

43

Samenvatting

- Voor een beheerder is er veel te leren aan Vista- Het nieuwe werken is meer dan een Vista Client- Microsoft Deployment Toolkit is onmisbaar- Goed moment om de infra rond de client te reorganiseren- Reserveer genoeg tijd voor de ontwikkeling van het ideale

image

- Is dit het juiste moment?

44

Links

- Mijn blog:– http://www.xpworld.com

- Mijn boek:– http://www.vistaforxpprofessionals.com

- Mijn mail adres:– Raymond.Comvalius@invendows.nl

45

Win een boek!

- Kom naar de HP stand na deze sessie

Mensen maken

het Nieuwe Werken