Windows 7 jsou tady s námi od 22. října 2009, kdy měly nahradit nepříliš oblíbené Windows Vista. „Sedmičky“ si díky své stabilitě a příjemnějšímu uživatelskému rozhraní rychle získaly mnoho příznivců a spokojených uživatelů, jak doma, tak v korporátním prostředí. Po dlouhou dobu tedy nebyla chuť a vlastně ani potřeba přecházet na nový operační systém, ať už mluvíme o Windows 8/8.1, nebo Windows 10… až do teď!
Získejte prodlouženou podporu Windows 7
Program ESU (Extended Security Updates) však nabízí způsob, jak rozšířit dodávku „kritických“ a „důležitých“ záplat Windows 7 pro organizace, které mají potíže s přechodem ze systému Windows 7.
Microsoft statistiky tvrdí, že aktuální počty stanic s instalovaným operačním systémem Windows 7 se pohybují okolo 40 %, zatímco stanic s Windows 10 je jen okolo 37 %. To znamená velký problém pro mnoho lidí, ale především firem, pracujících stále na jiném operačním systému, než Windows 10. Proč? Pro Microsoft je samozřejmě nevýhodné dlouhodobě poskytovat podporu více operačním systémům najednou, a proto byly stanoveny konečné termíny jak pro mainstream podporu Windows 7, která skončila již v lednu 2015, tak pro extended podporu, která končí v lednu 2020.
| Historie verzí Windows 10 | Poslední aktualizace, nebo SP | Konec mainstream podpory | Konec extended podpory |
|---|---|---|---|
| Windows XP | Service Pack 3 | 14. dubna 2009 | 8. dubna 2014 |
| Windows Vista | Service Pack 2 | 10. dubna 2012 | 11. dubna 2017 |
| Windows 7 * | Service Pack 1 | 13. ledna 2015 | 14. ledna 2020 |
| Windows 8 | Windows 8.1 | 9. ledna 2018 | 10. leden 2023 |
| Windows 10 released 2015 | * N/A | 13. října 2020 | 14. října 2025 |
V červenci 2015 přichází Microsoft s novou platformou operačního systému Windows 10 a novou koncepcí tzv. buildů OS. Již tedy nemusíme kompletně a složitě přeinstalovávat OS na novou verzi, ale stačí si stáhnout nový build v rámci Windows Update a operační system se sám upgraduje. To přináší výhody v podobě nejen nových funkcionalit systému v kratším čase, ale také v lepším zabezpečení. Frekvence vydávání nových buildu se ustálila v roce 2017 a od té doby vycházejí dvakrát ročně, vždy v dubnu a říjnu (nebavíme se zde o kanálu LTSB). Přehled jednotlivých verzí naleznete v následující tabulce.
| Historie verzí Windows 10 | Datum dostupnosti | Konec servisní podpory pro edice Home, Pro a Pro for Workstation | Konec servisní podpory pro edice Enterprise a Education |
|---|---|---|---|
| Windows 10 verze 1809 | 2. října 2018 | 14. dubna 2020 | 13. dubna 2021 |
| Windows 10 verze 1803 | 30. dubna 2018 | 12. listopadu 2019 | 10. listopadu 2020 |
| Windows 10 verze 1709 | 17. října 2017 | 9. dubna 2019 | 14. dubna 2020 |
| Windows 10 verze 1703 | 5. dubna 2017 | 9. října 2018 | 8. října 2019 |
| Windows 10 verze 1607 | 2. srpna 2016 | 10. dubna 2018 | 9. dubna 2019 |
| Windows 10 verze 1511 | 10. listopadu 2015 | 10. října 2017 | 10. října 2017 |
| Windows 10, vydání z července 2015 (verze 1507) | 29. července 2015 | 9. května 2017 | 9. května 2017 |
Leden 2020, potažmo konec rozšířené podpory Windows 7, se stal jakýmsi pomyslným strašákem pro všechny, kteří to myslí s bezpečností svého, zejména firemního, prostředí vážně a chtějí využívat nové funkcionality, které Windows 10 přináší.
Jaké jsou tedy možnosti přechodu na Windows 10:
- Wipe and Load – smazání stávajícího OS a instalace čistého OS
- In-place upgrade – upgrade OS z prostředí stávajícího OS
- Side by Side – instalace na nový hardware
V tomto článku se zaměříme především na potřeby firem s větším počtem stanic, které jistě kvůli upgradu sáhnou po některém z automatizačních nástrojů, a pro které jsou důležité následující kritéria:
- Rychlost upgradu
- Zachování uživatelských dat
- Zachování definovaných aplikací
- Bezpečnost
V dnešní době neexistuje komplexnější nástroj pro správu uživatelských stanic a serverů ve firemním prostředí, něž Configuration Manager (SCCM), jenž je nástrojem z rodiny Microsoft System Center. SCCM si poradí se všemi scénáři přechodu na nový OS Windows 10.
In-place Upgrade – Toto je nejjednodušší způsob, který SCCM nabízí pro přechod z Win 7 na Win 10. Upgrade je prováděn přes Task Sequence, kterou lze vytvořit z built-in šablony s názvem “Upgrade an operating system from an upgrade package”.
Ještě než začneme konfigurovat in-place upgrade task sequenci v SCCM, je potřeba vytvořit upgrade package, což není nic jiného, než vybalené ISO operačního systému, na který budeme upgradovat. Tento package budeme potřebovat pro in-place upgrade TS.
Jakmile máme vydistribuovaný upgrade package na potřebném distribučním bodě, můžeme se pustit do přípravy samotné TS.
Vybereme upgrade package a zvolíme edici operačního systému, včetně instalačního klíče, pokud je potřeba.
Zvolíme, zda chceme, aby se nám při upgradu OS updatoval.
Můžeme definovat aplikace, které se po upgradu na stanici nainstalují.
Takto vytvořenou task sekvenci nahrajeme na distribuční bod a zacílíme na požadovanou kolekci počítačů. Jakmile na koncové stanici, spadající do naší kolekce, updatujeme politiky SCCM agenta (je možné provést ručně, nebo počkat, až si agent stáhne politiky sám, ve výchozím stavu je nastaveno na 60 minut), zobrazí se v Software Centru informace o nové upgradovací task sequenci. Pokud nastavíme deployment TS jako „required“(TS, která je vyžadovaná/vynucená), což opravdu neporučuji, je potřeba velmi dobře zacílit deployment na správnou kolekci. Múže se totiž stát, že si špatně zacílenou TS přeinstalujete počítače, které jste nechtěli. Pokud se ještě ke všemu provede zacílení na kolekci, která obsahuje např. firemní servery, je zaděláno na pořádný problém 😊.
Daleko častěji jsou tyto TS nastaveny jako „available“ a je tak na každém uživateli, kdy se do upgradu pustí. Samozřejmě není možné čekat do nekonečna, proto se na deploymentu nastavuje tzv. deadline, která po určité době upgrade vynutí.
Samotná task sequence pak vypadá zhruba takto:
V TS lze vidět několik málo kroků, které kontrolují pouze zda např. HW stanice dostačuje požadavkům nového operačního systému. Tento scénář je tedy vhodný pro stanice, na kterých je jen základní SW, u kterého máme jistotu, že je kompatibilní s novým, disky jsou nezašifrované, nezáleží nám na časové optimalizaci upgradu, nevadí nám, že instalace je light-touch, tedy, že v průběhu instalace bude potřeba fyzický zásah uživatele a v neposlední řadě nechceme provádět úpravy biosu, např. přepnutí biosu z Legacy na UEFI, případně zapnutí TPM. Samozřejmě lze tyto kroky do TS ručně přidat a upravit si ji podle svých potřeb.
Wipe and Load – je další možností, jak přejít na aktuální operační systém Windows 10. Tento scénář znamená, že stávající operační systém napřed úplně odstraníme z počítače a provedeme instalaci kompletně novou, tzv. „čistou“. U tohoto scénáře budeme, ve většině případů, chtít následující:
- Zálohu aktuálních uživatelských profilů, které se na stanici nacházejí
- Upgrade Biosu + přepnutí biosu z Legacy na UEFI, včetně ověření dostupnosti/zapnutí TPM, pokud se na stanici nachází
- Příprava a formátování disku podle formátu UEFI
- Možnost změnit název počítače
- Nechat uživatele zvolit aplikace, které bude chtít instalovat
- Připojit počítač do domény
- Nainstalovat core aplikace (aplikace, které bude obsahovat každá stanice\notebook)
- Zašifrování všech disků
- Zvolení konkrétních ovladačů pro daný model počítače
- Custom modifikace W10, např. úprava start menu, odebrání vybraných moderních aplikací atd.
- Obnovu uživatelských profilů na nově nainstalovaný počítač
V tomto případě můžeme použít šablonu task sequence s názvem „Install an existing image package“, případně vybrat „Create a new custom task sequence“. V obou případech bude nutné task sequence editovat a doplnit o požadované kroky, viz výše.
Oproti předchozímu způsobu (In-place Upgrade) je v případě Wipe and Load nutné použít wim file aktuální verze operačního systému, na který chceme upgradovat. Tento wim file importujeme do SCCM, jako OS image, a poté použijeme v TS.
Zde jsou dvě možnosti jak získat OS wim file:
- Můžeme použít buť čistý install.wim, který nalezneme na instalačním médiu operačního systému, nebo z vybaleného ISO souboru.
- Druhá možnost je vytvořit tzv. referenční image, což je předpřipravený operační systém, ve kterém jsou např. aktuální záplaty, nainstalované aplikace atd. Na takto připraveném OS se provede sysprep a výsledný wim file se použije do upgrade TS.
- Výhody: Rychlost nasazení operačního systému, upgrade bude rychlejší (v TS není potřeba mít tolik kroků), odpadá obava že některý z kroků selže, atd..
- Nevýhody: Pokud bude v budoucnu potřeba v referenční image cokoliv změnit (nové updaty, doinstalovat nová aplikace, nebo balíčky), tak se musí vytvořit image úplně znovu, nebo je potřeba ji editovat přes aplikace, jako např. DISM.
Příklad komplexní Wipe and Load TS lze vidět na následujícím obrázku, který si krátce popíšeme:
- Backup User Profiles (Scan State) – Tento bod je velmi důležitý, protože pomocí něj provedeme zálohu uživatelských profilů, případně i konkrétních adresářů počítače.
- BIOS Config – konfigurace biosu je další důležitý krok, který je možno do TS zařadit. Zde nastavíme BIOS tak, aby odpovídal moderním požadavkům na zabezpečení dat:
- Nastavíme UEFI + secure boot
- Zapneme TPM (1.2/2.0)
- Upravíme boot order
- Atd.
- Generate Computer Name – je možné, že v průběhu upgradu je nutné počítače přejmenovat podle nové jmenné konvence. V našem případě využijeme sady nástrojů MDT (Microsoft Deployment Toolkit), které zaintegrujeme do SCCM. Z této sady použijeme UDI Wizard, což je aplikace s grafickým rozhraním, který nám dovoluje, v interakci s uživatelem, upravovat některé kroky v TS. V našem případě půjde o změnu názvu počítače a v kroku níže budeme ještě ručně vybírat jednotlivé aplikace, které se mají nainstalovat.
- Format – tento krok připraví a naformátuje disky
- Apply OS image – Windows 10 Enterprise – aplikujeme OS image (čisté wim, nebo referenční image)
- Drivers – v našem případě máme pouze jeden konkrétní model počítače (Lenovo T440s). V tomto případě je vhodné po importu driverů do SCCM vytvořit driver pack a ten pak použít v TS. Pokud bychom měli více modelů, je možné přidat driver packy pro každý z nich a filtrovat je v TS pomoci WMI Query. Další možnost je použít auto apply drivers, kde se vyberou drivery automaticky, tuto možnost nedoporučuji, protože mechanizmus výběru driverů není zdaleka dokonalý a pokud je v SCCM např. naimportováno několik verzí jednoho driveru, tak ne vždy se použije ten nejnovější apd.
- Apply Windows Settings – definujeme název lokálního administrátora a jeho jeslo, organization name atd.
- Apply Network settings – tímto krokem připojíme počítač do domény
- Setup Windows and ConfigMgr – instalujeme Configuration Manager Client Package
- Features and Customization – v našem případě instalujeme MBAM klienta pro správu Bitlockeru
- Bitlocker drive encription – v této skupině máme několik kroků, které konfigurují TPM a šifrování disků Bitlockerem
- Install software – zde se znovu dostáváme k UDI Wizardu, který jsem zmiňoval v bodě Generate Computer Name. Načteme si komponentu UDI Wizardu a v dalším bodu Install Optional Application definujeme kolekci, která obsahuje aplikace, které bude možné vybírat. Krok Install core applications obsahuje aplikace, které se nainstalují vždy a které není možné v průběhu task sequence ručně volit
- Install updates – nainstaluje potřebné aktualizace. Je dobré tento krok zvážit, protože značně ovlivní dobu nalévání TS
- Restore User Profiles (LoadState) – na távěr TS vracíme profily uživatelů, případně další potřebná data, která jsme si odzálohovali v prvním kroku TS, zpět
- Enable Bitlocker – zapínáme bitlocker
Takto tedy může vypadat task sequence, díky které jsme schopni pohodlně přejít na Windows 10.
Scénářů může být samozřejmě nespočet a každému může vyhovovat pro přechod na nový operační systém něco jiného. To, co jsme si popsali výše, jsou však nejčastější požadavky, které řeší většina firemních uživatelů.
