Pues de nubes va la cosa y la nube no es solo para servidores si no que también sirve para usuarios.
He puesto en marcha unos 1000 equipos de usuario final en los que apenas he tocado unos 20 físicamente.
¿El secreto?
Cuando hablas con proveedores de hardware de rango empresarial, obviamente no con el tipo de ordenadores que te puedes encontrar en el supermercado, junto con la factura, o mejor dicho, entre todos los papeles y papeles virtuales que envían, hay cosas muy importantes, como por ejemplo las huellas UUID de los equipos comprados.
Esto tiene un aspecto similar a, no se, ¿Un excel de 1000 registros? Un registro por cada máquina. Algo así como esto:
Device Serial Number,Windows Product ID,Hardware Hash
AAAAA0A,,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
AAAAB0A,,YXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
AAAAC0A,,ZXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Obviamente ni tantas X ni tanta correlación, y unos 4096 bytes por hash, relacionados con el UUID de la BIOS, número de serie de la máquina y alguna cosa más.
El caso es que esto que debería ser siempre correcto, después de un tiempo, con intervenciones de servicio técnico y demás, puede variar, sobre todo si el técnico, perdón, el ingeniero de soporte sobre el terreno no es capaz de reconfigurar la placa cambiada para que tenga el mismo número de serie que la original, y parámetros similares. Ojo, que otras veces pasa de forma aleatoria, aún no se por qué, y mis fabricantes tampoco. Me dicen que si “cosas de lusers”.
El caso es que la primera carga, todo es fácil, todo es jauja, y podemos pasar a meter en Intune todo este contenido, y en cuanto la máquina arranque, Windows enlazará con Intune y lanzará Autopilot.
A ver, hay muchísimo más por detrás y por debajo, pero con esto tenemos suficiente para este caso.
Que es Autopilot
Pues es ni más ni menos que una serie de scripts configurables que pueden hacer casi todo durante el OOBE de Windows, desde inyectar certificados, aplicaciones, clientes de vpn, como configurar parámetros locales de máquina, como es el nombre y las identidades de gestión, su securización hardening, o su unión al dominio.
Yo por mi parte ya he configurado los perfiles en autopilot para que todo el OOBE y una parte importante de la securización y programas de servicio sean instalados durante esta fase, simplemente asignando un perfil al hardware cuya lista de UUID tenemos por parte del fabricante, desde autopilot.
Es decir.
- El usuario solicita un ordenador.
- Almacén lo envía.
- El usuario recibe, enchufa, conecta… (Asumimos que sabe, aunque me tocó añadir unas instrucciones hasta con como desembalar con seguridad y sin cortarse).
- Al arrancar el ordenador conectado a Internet salta una pantalla de bienvenida personalizada (la de Windows no está mal pero la mía es más corporativa) que pide credenciales.
- Introduce correo, contraseña y una posición de la tarjeta de coordenadas (Ya lo se, estoy trabajando en su descontinuación para implementar Microsoft Authenticator, pero de momento…).
- Y la magia comienza.
- Entre 20 minutos y una hora después el ordenador estará listo para empezar a ser usado con absolutamente todos los componentes básicos que necesita.
Tras esta vaca esférica, que repito, funciona en más del 99% de los casos en general y en el 100% de los casos de hardware nuevo desde fabricante, vamos con los que dan problemas.
Solucionando problemas
Pues nada, si hay problemas, scripts al cuanto. El primero es bastante simple ya que este tipo de operaciones, cuando falla un equipo, se envía otro y este viene para que mi gente lo vuelva a acondicionar y actúe en consecuencia. El equipo en fallo vendrá a mi sede, y alguien del equipo de IT seguirá mis procedimientos.
Como en sede tenemos líneas seguras, me he sacado, desde un blow del data lake de Azure Blow Storage, un CIFS para esto. Que me vais a decir que use Azure Files, que esto es para otra cosa, pero oye, lo tengo, y me da el servicio al mismo precio. A ojos del mundo, es una NAS de la nube, en la nube. Fileserver-as-a-service.
Tengo 3 ficheritos, y como cada caso se evalúa en solitario, pues no necesito más que esto.
El primero es Get-WindowsAutopilotInfo.ps1 que es un script de originario de la Powershell Gallery https://powershellgallery.com
sin modificaciones para nosotros, pero usamos una versión determinada y no la última, puesto que no quiero que ciberseguridad me diga que esto no se puede hacer.
El segundo es Get-SerialNumber.ps1 que es una moñadina de nada, todo para crear un fichero, así valoro los permisos, que se ha mapeado bien, y que puedo leer el número de serie de la máquina… nada relevante, y se ve así:
$env:serialnumber=$(gwmi win32_bios|select -expandproperty serialnumber)
return $env:serialnumber
Realmente es una función auxiliar recalcando lo de función, que devuelve un valor, a tratar por el siguiente script, que ya no es Powershell, si no un bat de los de antes. Mi engendro:
@echo OFF
rem ##############################################################
rem # Queda asumido que la unidad Z: está libre y ha sido mapeada
rem # por medio de: pushd \\datalake.yovirtualizador.org\autopilot
rem # desde el equipo a replataformar desde red segura
rem ##############################################################
cd \scripts
powershell.exe -executionpolicy bypass -file Get-SerialNumber.ps1 > temp.csv
set /p serialnumber= < temp.csv
powershell.exe -executionpolicy bypass -file Get-WindowsAutopilotInfo.ps1 -outputfile %serialnumber%.csv
del /q temp.csv
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" https://intune.microsoft.com/#view/Microsoft_Intune_Enrollment/AutopilotDevicesBlade
rem ##############################################################
rem # "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" inenroll.cmd.ms
rem # Una futura evolución del panel de Intune requerirá este acceso.
rem ##############################################################
move %serialnumber%.csv \hitorificacion-terminados
systemreset
¿Ilustramos?
Todas estas ilustraciones vienen de la web de Microsoft.
Una pantalla de bienvenida clásica sería:
Obviamente ahí debería aparecer nuestro logo, nombre, y la información que queramos.
Y una pantalla de instalación de aplicaciones y configuración desde autopilot:
YoVirtualizador en formato podcast. Ahora también en Sospechosos Habituales: https://wt.territoriolinux.es/rss/short.xml
Y sin más, os dejo los enlaces:
Web: https://www.yovirtualizador.com
Grupo de telegram: https://t.me/grupovirtualizador
Podcast: https://www.ivoox.com/podcast-yovirtualizador_fg_f1563806_filtro_1.xml y YouTube https://www.youtube.com/playlist?list=PLrnymu_aoVL6nk1-FcZ220P65tyHV6djV Canal de YouTube: https://youtube.com/@yovirtualizador
Enlaces afiliados:
Amazon: https://amzn.to/3gX3HmK
Asociación Podcast: https://www.asociacionpodcast.es/registrarse/socio/?coupon=SB6A70
iVoox Plus: https://www.ivoox.vip/plus?affiliate-code=323d07d8569f044513746a1be4724b40
iVoox Premium: https://www.ivoox.vip/premium?affiliate-code=03d0efe2be3b55e4cd6df6dc3f6a6dbc
iVoox Premium anual: https://www.ivoox.vip/premium?affiliate-code=9feb8e44ecb4c97148e227100af9223b
