WEM Administration Console – Teil 2 (System Optimization, Policies & Profiles und Security)

Aktualisierung des Artikels auf die Workspace Environment Management Version 1906.

About Administration Console Workspace Environment Management  1906.0.1.1

Nun geht es weiter mit dem zweiten Teil der Serie über die WEM Administration Console. Hier gebe ich einen Einblick in die Menüpunkte System Optimization, Policies & Profiles und Security.

System Optimization

Diese Einstellungen dienen dazu, die Ressourcen Nutzung auf dem Host zu verringern. Sie dienen dazu, dass Ressourcen freigegeben werden und für andere Anwendungen verfügbar sind, hierdurch wird die Benutzerdichte pro Host erhöht. Die System Optimization ist Maschinen basierend.

Wenn Ihre virtuellen Maschinen unterschiedliche Hardwarekonfigurationen haben, sollten Sie mehrere Configuration Sets für sie erstellen und die System Optimization Einstellungen für jeden Configuration Set unterschiedlich konfigurieren. Maschinen können nur zu einem Configuration Set gehören.

WEM Administration Console - Teil 2 (System Optimization, Policies & Profiles und Security)

Alle Einstellungen müssen auf der jeweiligen Registerkarte mit Apply bestätigt werden.

System Optimization Actions

CPU Management

Prozesse können über alle Cores laufen und können so viel CPU beanspruchen, wie sie möchten. In Workspace Environment Management können Sie mithilfe des CPU Management festlegen, wie viel CPU-Kapazität von einzelnen Prozessen verwendet werden können.

CPU Management Settings

  • Enable CPU Spikes Protection
    • Wenn ein einzelner Prozess eine konfigurierbare Schwelle (CPU Usage Limit) für eine bestimmte Zeit (Limit Sample Time) erreicht, verringert WEM automatisch die Priorität des Prozesses für eine definierte Zeit (Idle Priority Time).
    • Wenn mehrere einzelne Prozesse zusammen den angegebenen Schwellenwert überschreiten, wird die CPU Spikes Protection nicht aktiviert, sie wird nur aktiviert wen eine einzelne Prozessinstanz den Schwellenwert überschreitet.
    • Die CPU Spikes Protection ist nicht dafür ausgelegt, die allgemeine CPU-Auslastung zu reduzieren. Es soll die Auswirkungen auf die Benutzererfahrung durch Prozesse reduzieren, die einen übermäßigen Prozentsatz der CPU-Auslastung beanspruchen.
    • Beachten Sie, dass der Prozess nicht wie bei CPU Clamping gedrosselt wird. Nur die Priorität wird reduziert.
  • CPU Usage Limit (%)
    • Legt fest, wie viel Prozent der CPU ein Prozess verwenden kann, bevor die Priorität herabgesetzt wird.
    • Grundregel für die Berechnung des Wertes lautet, nehme 100%, dividiere es durch die Anzahl der CPUs und ziehe 1 ab. Dadurch wird verhindert, dass ein einzelner Prozess eine CPU komplett auslastet.
Beispiel: 

CPU Usage Limit = ( 100% / <NumCPUs> ) - 1

Für einen 4 Core XenApp Server: 
( 100% / 4 ) - 1 = 24%

Für eine 2 Core VDI Maschine: 
( 100% / 2 ) - 1 = 49%

  • Limit Sample Time (s)
    • Legt fest, wie lange ein Prozess in Sekunden die CPU Usage Limit überschreiten kann, bevor die Priorität herabgesetzt wird, was im Vergleich zu CPU Clamping ein weniger aggressiver Ansatz ist.
  • Idle Priority Time (s)
    • Definiert die Zeit in Sekunden, für die eine Prozesspriorität herabgesetzt wird, bevor sie zu ihrer vorherigen Priorität zurückkehrt.
System Optimization CPU Management CPU Management Settings
  • Limit CPU / Core usage
    • Mit dieser Einstellung können Sie den Prozess auf eine bestimmte Anzahl von Cores beschränken (Anzahl der logischen Prozessoren in der VM, nicht in der zugrunde liegenden physischen Hardware), sobald die CPU Spikes Protection durch erreichen des Schwellwertes ausgelöst wird.
  • Enable Intelligent CPU Optimization
    • Durch diese Einstellung werden Prozesse, die ein Benutzer in seiner Sitzung startet, initial mit einer CPU-Priorität von Hoch festgelegt.Immer wenn ein bestimmter Prozess die Spikes Protection auslöst, wird das Ereignis in der lokalen Datenbank des Agenten aufgezeichnet (Für jeden Benutzer separat).Desto öfters ein Prozess die Spikes Protection auslöst, desto niedriger wird die Priorität des Prozesses beim nächsten Start des selben Benutzer festgelegt.
Zum Beispiel:

Startet User 1 zum ersten mal den Internet Explorer, wird WEM dem Prozess iexplore von User 1 initial die Priorität Hoch zuweisen.

Wenn Internet Explorer wiederholt die Spikes Protection auslöst, führt WEM den Prozess beim nächsten Start des Users mit der nächst niedrigeren CPU-Priorität aus, z.B. Above Normal.

Wenn der Prozess weiterhin die Spikes Protection auslöst, wird er mit der nächst niedrigeren Priorität gestartet, bis er schließlich mit der niedrigsten Priorität startet.

Beachtet, dass Prioritäten für Prozesse, die auf der Registerkarte CPU Priority festgelegt wurden, die Funktion Intelligent CPU Optimization überschreiben.

  • Enable Intelligent IO Optimization
    • Dies funktioniert genauso wie die CPU Optimization, jedoch für I/O (Verringern der Priorität nach Auslösung der Spikes Protection).
  • Exclude specified processes
    • Ermöglicht das Ausschließen bestimmter Prozesse von der Spikes Protection.
    • Die CPU-Verwaltung schließt standardmäßig die meisten gängigen Citrix- und Windows-Core Prozesse aus.
    • Sie können hier festlegen, dass Antivirus-Prozesse ausgeschlossen werden sollen. Geben Sie diesen Prozessen jedoch eine niedrige I/O-Priorität, um zu vermeiden, dass zu viel Festplatten-I/O verbraucht wird.
    • Sie geben einen Prozessnamen so ein, wie er im Task-Manager zu finden ist, jedoch ohne die Erweiterung explorer anstelle von explorer.exe.
    • Wenn ein Prozess durch Spikes Protection reguliert wird, generiert WEM unter „Application and Service Logs / Norskale Agent Service“ einen Eintrag, der den betroffenen Prozess angibt.

CPU Priority

Auf der Registerkarte CPU Priority können Sie Prozesse angeben, z.B. explorer.exe, und eine Standard Priorität zuweisen, die dem Prozess mehr oder weniger CPU Zeit erlaubt. Einen Prozess die Priorität Realtime zuzuweisen wird nicht empfohlen.

Wenn Sie einem Prozess, z.B. explorer.exe, die Priorität Normal zuweisen, beginnt der Prozess mit dieser Prioritätsstufe und fällt nie auf eine niedrigere Priorität zurück, jedoch kann er mit einer höheren Priorität ausgeführt werden.

System Optimization CPU Management CPU Priority

CPU Affinity

Auf der Registerkarte CPU Affinity können Sie die CPU Belegung für Prozesse festlegen. Dies bestimmt, wie viele logische CPU-Kerne ein Prozess verwendet.

Sie können zum Beipiel explorer.exe so konfigurieren das es 2 Cores verwendet.

System Optimization CPU Management CPU Affinity

CPU Clamping

CPU Clamping hindert Prozesse daran, mehr als einen vorher konfigurierbaren Prozentsatz Leistung der CPU zu verbrauchen. WEM drosselt oder klemmt den Prozess ab, wenn die angegebene CPU % erreicht ist. Auf diese Weise können Sie verhindern, dass einzelne Prozesse große Mengen an CPU verbrauchen und so den Host lahm legen.

Um die CPU Auslastung eines problematischen Prozesses niedrig zu halten, ist es dennoch besser, die CPU Spikes Protection, CPU Priority und CPU Affinity zu verwenden.

CPU Clamping ist am besten für die Steuerung von Prozessen reserviert, die sich bekanntermaßen schlecht durch das Ressourcen Management Regeln lassen, jedoch keine Priorität haben. Der vorher konfigurierte Prozentsatz des Clamping bezieht sich auf die Gesamtleistung aller CPUs im Server, nicht auf einen einzelnen darin enthaltenen Core. (Mit anderen Worten: 10% einer Quad-Core-CPU machen 10% der gesamten CPU aus, nicht 10% eines Kerns).

Wenn Workspace Environment Management einen Prozess blockiert, fügt es den Prozess zu seiner Watchlist, die der WEM Client initialisiert, hinzu. Sie können überprüfen, ob ein Prozess gedrosselt wurde, indem Sie sich dies anzeigen lassen.

System Optimization CPU Management CPU Clamping

Memory Management

Wenn diese Einstellungen aktiviert sind, berechnet Workspace Environment Management, wie viel RAM ein Prozess verwendet, und wie viel RAM mindestens benötigt wird, ohne dass die Stabilität beeinträchtigt wird. WEM betrachtet die Differenz als zu viel RAM.

Wenn sich der Prozess im Leerlauf befindet (normalerweise wird die Anwendung in die Taskleiste minimiert), gibt WEM den überschüssigen RAM des Prozesses für die Auslagerungsdatei frei und optimiert den Prozess für nachfolgende Startvorgänge. Wenn Anwendungen über die Taskleiste wiederhergestellt werden, werden sie zunächst in ihrem optimierten Status ausgeführt, können jedoch nach Bedarf weiterhin zusätzlichen Arbeitsspeicher beanspruchen.

WEM optimiert alle Anwendungen, die ein Benutzer während seiner Desktopsitzung verwendet. Der gesamte freigegebene Arbeitsspeicher kann für andere Prozesse zur Verfügung gestellt werden. Dies erhöht die Benutzerdichte, indem eine größere Anzahl von Benutzern auf demselben Server unterstützt werden.

System Optimization Memory Management

Sie können die Working Set Optimization (WSO) aktivieren, wodurch der überschüssige Speicher aus inaktiven Anwendungen entfernt wird, wenn diese für eine bestimmte Zeit nicht verwendet wurden. Prozesse können aus WSO ausgeschloßen werden (Exclude Specified Processes), so das diese Prozesse nicht von WSO beeinflusst werden. Mit der Idle Sample Time, bestimmen wir den Zeitraum den WSO zur Verfügung gestellt bekommt, um die Standard Arbeitsspeicherauslastung und die geringste Menge an Arbeitsspeicher zu berechnen, die ein Prozess benötigt, ohne die Stabilität zu beeinträchtigen.

Ein Beispiel für WSO ist, wenn ein Benutzer Internet Explorer öffnet und mehrere Websites durchsucht. Während dieser Zeit berechnet WSO die Menge des verwendeten RAM plus die geringste erforderliche Menge an RAM. Wenn der Benutzer mit Internet Explorer fertig ist und die prozentuale CPU des Internet Explorer-Prozesses auf den für Idle State Limit festgelegten Wert absinkt, zwingt WEM den Prozess dazu, den zuvor berechneten überschüssigen Arbeitsspeicher freizugeben. Der RAM wird freigegeben, indem er in die Auslagerungsdatei geschrieben wird.

Es ist wichtig, dass Sie den Wert für das Idle State Limit nicht zu hoch einstellen, da Sie nicht möchten, dass WEM den Prozess dazu zwingt, den RAM freizugeben, wenn der Prozess aktiv ist. Der Standardwert ist 1%. Dies bedeutet, dass im vorherigen Beispiel der überschüssige Arbeitsspeicher freigegeben wird, sobald Internet Explorer auf 1% sinkt. Citrix empfiehlt nicht, den Wert auf mehr als 5% einzustellen.

In SBC-Umgebungen ist die Working Set Optimization ein absolutes Muss, da mehr Benutzer auf einen Server passen. In VDI Umgebungen sollte man dies unterlassen, da die Benutzer dort über dedizierte virtuelle Maschinen, mit dedizierten Ressourcen verfügen.

Es gibt viele Umgebungen, insbesondere solche, die über PVS bereit gestellt werden, in denen die Anwendungen Daten in das Page File auslagern. Daher verbleiben die kompletten Anwendungsdaten im RAM. In diesem Fall kann WSO extrem vorteilhaft sein. Idealerweise würden Sie WEM in einer POC-Umgebung modellieren und überwachen, um sie an Ihre speziellen Anforderungen anzupassen.

Die Idle Sample Time sollte auf etwa 10 Minuten reduziert werden (Standardeinstellung ist 30 Minuten).

I/O Management

Im I/O Management Modul können Sie die I/O Priority für Prozesse festlegen. Dies kann nützlich sein, wenn Sie eine stark beanspruchte Festplatte von unnötigen Zugriffen befreien wollen. Diese Funktion funktioniert genauso wie die CPU Priority, jedoch für Netzwerk- und Festplatten-I/O.

Fügen Sie einen Prozessnamen mit seiner Erweiterung hinzu, zum Beispiel explorer.exe, und legen Sie eine I/O Priority fest. Beim nächsten Neustart dieses Prozesses wird die I/O Priority angewendet.

System Optimization I/O Management I/O Priority

Fast Logoff

Auf der Registerkarte Fast Logoff können Sie eine visuelle schnelle Abmeldung aktivieren. Mit Fast Logoff wird ein Benutzer sofort abgemeldet und im Hintergrund werden die zusätzlichen Abmeldeaufgaben ausgeführt. Dies bedeutet im Wesentlichen, dass der Benutzer sofort getrennt wird und die Abmeldung wie gewohnt im Hintergrund erfolgt. Sie können dies aktivieren und bestimmte Gruppen von der Verarbeitung ausschließen.

System Optimization Fast Logoff

Policies and Profiles

Mit diesen Einstellungen können Sie Benutzer-GPOs ersetzen und Benutzerprofile konfigurieren, um die Anmeldung zu beschleunigen.

Policies and Profiles

Alle Einstellungen müssen auf der jeweiligen Registerkarte mit Apply bestätigt werden.

Policies and Profiles Actions

Environmental Settings

Diese Optionen ändern die Environmental Settings des Benutzers. Einige der Optionen werden erst bei der Anmeldung verarbeitet, während andere auch in der Sitzung, mit dem Agent Refresh, aktualisiert werden können.

Start Menu

Diese Optionen ändern das Startmenü und das Erscheinungsbild der Taskleiste des Benutzers.

  • Process Environmental Settings
    • Mit dieser Checkbox können Sie festlegen, ob der Agent Environmental Settings verarbeitet. Wenn es nicht aktiviert ist, werden keine Environmental Settings verarbeitet
  • Exclude Administrators
    • Wenn aktiviert, werden Environmental Settings für Administratoren nicht verarbeitet, selbst wenn der Agent gestartet wird
  • Hide Common Programs
    • Hält das Startmenü frei von Standard Icons aus dem All Users Profil
  • Force Logoff Button
    • Legen Sie im Menü Ein/Aus die Option Abmelden als Standardaktion fest
  • Turn Off Notification Area Cleanup
    • Der Taskleisten Benachrichtigungsbereich wird keine Benachrichtigungen ausblenden und alle anzeigen
  • Turn Off Personalized Menus
    • Blendet die Personalized Menus aus, die oben an das Start Menü angeheftet werden und die zuletzt verwendeten Elemente enthält
  • Clear Recent Programs List
    • Löscht den Verlauf der zuletzt geöffneten Dokumente beim Abmelden

Mit den anderen selbsterklärenden Optionen können Sie Menü Schaltflächen im Startmenü oder in der Taskleiste ausblenden oder entfernen.

Auf anderen Betriebssystemen als Windows 7, funktionieren die Optionen unter User Interface: Start Menu möglicherweise nicht, außer Hide System Clock und Hide Turnoff Computer.

Policies and Profiles Environmental Settings Start Menu

Mit den User Interface: Appearance Einstellungen können Sie das Windows-Design und den Desktop (Hintergrundfarbe, Hintergrundbild usw.) des Benutzers anpassen. Pfade zu Ressourcen müssen aus der Sicht des Benutzers eingegeben werden.

Desktop

Policies and Profiles Environmental Settings Desktop

Mit User Interface: Desktop steuern Sie, welche Desktop-Elemente und Eigenschaften vom Agenten deaktiviert werden (für alle unterstützten Betriebssysteme).

Über User Interface: Edge UI können Sie Aspekte der Windows 8.x Edge-Benutzeroberfläche deaktivieren.

Windows Explorer

Policies and Profiles Environmental Settings Windows Explorer

Mit User Interface: Explorer steuern Sie verschiedene Aspekte des Windows-Explorers und verhindern z.B. den Zugriff auf Regedit und Cmd.

Seien Sie vorsichtig mit den Optionen Disable Silent Regedit und Disable Cmd Scripts. Dadurch wird nämlich auch verhindert, dass Anmeldeskripts und Registry-Hacks außerhalb von WEM ausgeführt werden können.

In Drives Restrictions haben Sie zwei Optionen für das verbergen von Laufwerken.

  • Hide Specified Drives
    • Die aufgelisteten Laufwerke werden im Arbeitsplatz des Benutzers ausgeblendet. Sie sind weiterhin zugänglich, wenn Sie direkt zu ihnen navigieren.
  • Restrict Specified Drives
    • Die aufgeführten Laufwerke sind ausgeblendet und gesperrt. Weder der Benutzer noch seine Anwendungen können auf sie zugreifen.

Control Panel

Policies and Profiles Environmental Settings Control Panel

Die Option Hide Control Panel ist standardmäßig aktiviert, um die Benutzerumgebung abzusichern.

Mit Show / Hide only specified Control Panel Applets definieren Sie die Control Panel Elemente, die für den Benutzer ausgeblendet/eingeblendet werden.

Zusätzliche Applets können mit ihrem kanonischen Namen zu der jeweiligen Liste hinzugefügt werden.

Applet NameCanonical Name
Action Center
Microsoft.ActionCenter
Administrative ToolsMicrosoft.AdministrativeTools
AutoPlayMicrosoft.AutoPlay
Biometric DevicesMicrsosoft.BiometricDevices
BitLocker Drive EncryptionMicrosoft.BitLockerDriveEncryption
Color ManagementMicrosoft.ColorManagement
Credential ManagerMicrosoft.CredentialManager
Date and TimeMicrosoft.DateAndTime
Default ProgramsMicrosoft.DefaultPrograms
Device ManagerMicrosoft.DeviceManager
Devices and PrintersMicrosoft.DevicesAndPrinters
DisplayMicrosoft.Display
Ease of Access CenterMicrosoft.EaseOfAccessCenter
Family SafetyMicrosoft.ParentalControls
File HistoryMicrosoft.FileHistory
Folder OptionsMicrosoft.FolderOptions
FontsMicrosoft.Fonts
HomeGroupMicrosoft.HomeGroup
Indexing OptionsMicrosoft.IndexingOptions
InfraredMicrosoft.Infrared
Internet OptionsMicrosoft.InternetOptions
iSCSI InitiatorMicrosoft.iSCSIInitiator
iSNS ServerMicrosoft.iSNSServer
KeyboardMicrosoft.Keyboard
LanguageMicrosoft.Language
Location SettingsMicrosoft.LocationSettings
MailMail
MouseMicrosoft.Mouse
MPIOConfigurationMicrosoft.MPIOConfiguration
Network and Sharing CenterMicrosoft.NetworkAndSharingCenter
Notification Area IconsMicrosoft.NotificationAreaIcons
Pen and TouchMicrosoft.PenAndTouch
PersonalizationMicrosoft.Personalization
Phone and ModemMicrosoft.PhoneAndModem
Power OptionsMicrosoft.PowerOptions
Programs and FeaturesMicrosoft.ProgramsAndFeatures
RecoveryMicrosoft.Recovery
RegionMicrosoft.RegionAndLanguage
RemoteApp and Desktop ConnectionsMicrosoft.RemoteAppAndDesktopConnections
SoundMicrosoft.Sound
Speech RecognitionMicrosoft.SpeechRecognition
Storage SpacesMicrosoft.StorageSpaces
Sync CenterMicrosoft.SyncCenter
SystemMicrosoft.System
Tablet PC SettingsMicrosoft.TabletPCSettings
Taskbar and NavigationMicrosoft.Taskbar
TroubleshootingMicrosoft.Troubleshooting
TSAppInstallMicrosoft.TSAppInstall
User AccountsMicrosoft.UserAccounts
Windows Anytime UpgradeMicrosoft.WindowsAnytimeUpgrade
Windows DefenderMicrosoft.WindowsDefender
Windows FirewallMicrosoft.WindowsFirewall
Windows Mobility CenterMicrosoft.MobilityCenter
Windows To GoMicrosoft.PortableWorkspaceCreator
Windows UpdateMicrosoft.WindowsUpdate
Work FoldersMicrosoft.WorkFolders

Known Folders Management

Policies and Profiles Environmental Settings Known Folder Management

Verhindert die Erstellung der angegebenen Ordner des Benutzerprofils bei der Profilerstellung.

SBC/ HVD Tuning

Policies and Profiles Environmental Settings SBC/HVD Tuning

Mit SBC / HVD Tuning können Sie verschiedene Optionen für die Optimierung der Leistung bei Verwendung von Sitzungshosts wie Virtual Apps oder SharedDesktops aktivieren.

Einige der Optionen dienen der Leistungssteigerung, können jedoch die Benutzererfahrung etwas beeinträchtigen.

Microsoft USV Settings

Mit den Microsoft USV Settings können Sie WEM für die Konfiguration der Microsoft Roaming Profile und Folder Redirection nutzen.

Roaming Profiles Configuration

Policies and Profiles Microsoft USV Settings Roaming Profiles Configuration

Wenn die Checkbox Process User State Virtualization Configuration deaktiviert ist, werden keine USV-Einstellungen (Roaming-Profil oder Folder Redirection) verarbeitet.

Wenn die Option aktiviert ist, können Sie mit den Optionen dadrunter ihr Roaming Profil und Ihr RDS Home Laufwerk definieren.

Roaming Profiles Advanced Configuration

Policies and Profiles Microsoft USV Settings Roaming Profiles Advanced Configuration

Wenn Enable Folder Exclusion aktiviert ist, sind die aufgelisteten Ordner nicht im servergespeicherten Profil eines Benutzers enthalten.

Auf diese Weise können Sie bestimmte Ordner in ihrem Roaming Profile ausschließen, von denen bekannt ist, dass sie große Datenmengen enthalten, die der Benutzer als Teil seines servergespeicherten Profils nicht benötigt.

Die Liste ist mit den Standardausschlüssen von Windows 7 vorgefüllt und kann auch noch  mit den Standardausschlüssen von Windows XP aufgefüllt werden.

Die anderen Checkboxen sind selbsterklärend.

Profile Cleansing

Die Schaltfläche Profile Cleansing öffnet einen Assistenten, mit dem Sie vorhandene Profile anhand der Ordnerausschluss Einstellungen bereinigen können.

Folder Redirection

Policies and Profiles Microsoft USV Settings Folder Redirection

Die Checkbox Process Folder Redirection Configuration muss aktiviert sein oder der Agent verarbeitet keine Folder Redirection.

Wählen Sie hier die Optionen für die einzelnen Ordner aus, um zu steuern, ob und wohin die Ordner des Benutzers umgeleitet werden.

Policies and Profiles Microsoft USV Settings Folder Redirection Delete Local Redirected Folders

Wenn Delete Local Redirected Folders aktiviert ist, löscht der Agent die lokalen Kopien der umgeleiteten Ordner.

Citrix Profile Management Settings

Workspace Environment Management unterstützt die Funktionen der Version 1903 von Citrix Profile Management.

Main Citrix Profile Management Settings

Policies and Profiles Citrix Profile Management Settings Main Citrix Profile Management Settings

Wenn Sie die Checkbox Enable Profile Management Configuration aktivieren, werden die Profileinstellungen verarbeitet. Die übrigen Checkboxen (Set path to user store, Enable active write back usw.) werden wie bei den anderen UPM Konfiguration Methoden (GPO/Citrix Studio) festgelegt.

Profile Handling

Policies and Profiles Citrix Profile Management Settings Profile Handling

Diese Einstellungen steuern die Profile Handling Einstellungen. Zum Beispiel das löschen des lokal gepeicherten Profiles usw.

Advanced Settings

Policies and Profiles Citrix Profile Management Settings Advanced Settings

Diese Optionen dienen der erweiterten UPM Konfiguration (z.B. Anzahl Wiederholungen bei gesperrten Dateien im Profile). 

In der WEM Version 1808 ist endlich das UPM Feature Enable search index roaming for Microsoft Outlook users hinzugekommen. Wenn dies aktiviert ist, werden die benutzerspezifische Microsoft Outlook Offline Ordnerdateien (* .ost) und die Microsoft Suchdatenbank zusammen mit dem Benutzerprofil bereit gestellt. Dies verbessert die Benutzererfahrung beim Durchsuchen von E-Mails in Microsoft Outlook.

Log Settings

Policies and Profiles Citrix Profile Management Settings Log Settings

Diese Optionen steuern die Log Settings der Profilverwaltung.

Registry

Policies and Profiles Citrix Profile Management Settings Registry

Hiermit steuern Sie die Registry Einstellungen des Profile Management.

Wenn NTUSER.DAT Backup ausgewählt ist, verwaltet das Profile Management die letzte bekannte Sicherung der NTUSER.DAT. Wenn der UPM Agent eine Beschädigung feststellt, verwendet es die letzte bekannte Sicherungskopie, um das Profil wiederherzustellen.

Enable Default Exclusion List ist eine Standardliste von Registry Keys aus der HKCU-Struktur. Wenn diese Option ausgewählt ist, werden die in dieser Liste ausgewählten Registry Keys zwangsweise von UPM ausgeschlossen.

File System

Policies and Profiles Citrix Profile Management Settings File System

Durch die Aktivierung des Enable Logon Exclusion Check wird festgelegt, was UPM bei der Anmeldung eines Benutzers mit den Profiledateien macht, wenn das Profil im Benutzerspeicher ausgeschlossene Dateien oder Ordner enthält. (Wenn deaktiviert, lautet das Standardverhalten Ausgeschlossene Dateien und Ordner synchronisieren). Sie können aus den folgenden Optionen auswählen:

  • Synchronize excluded files or folders (default)
    • UPM synchronisiert diese ausgeschlossenen Dateien und Ordner aus dem Benutzerspeicher mit dem lokalen Profil, wenn sich ein Benutzer anmeldet.
  • Ignore excluded files or folders
    • UPM ignoriert die ausgeschlossenen Dateien und Ordner im Benutzerspeicher, wenn sich ein Benutzer anmeldet.
  • Delete excluded files or folder
    • UPM löscht die ausgeschlossenen Dateien und Ordner im Benutzerspeicher, wenn sich ein Benutzer anmeldet.

Enable File / Folder Exclusion aktiviert, dass die aufgelisteten Dateien nicht im Profile des Benutzers enthalten sind. Pfade in dieser Liste müssen relativ zum Benutzerprofil sein.

Synchronisation

Policies and Profiles Citrix Profile Management Settings Synchronisation

Mit Enable Directory / File Synchronization erweitern Sie das Benutzerprofil mit den aufgelisteten Ordnern und Dateien. Pfade in dieser Liste müssen relativ zum Benutzerprofil sein. Wildcards können verwendet werden, sind aber nur für Dateinamen zulässig.

Aktiviere Enable Folder Mirroring und die aufgelisteten Ordner werden in den Profilspeicher gespiegelt. So wird sichergestellt, dass Benutzer immer die aktuellsten Versionen dieser Ordner erhalten. Durch das Spiegeln von Ordnern kann die Profilverwaltung einen Transaktionsordner und seinen Inhalt als eine Einheit verarbeiten, wodurch das Aufblähen des Profils vermieden wird.

Beachten Sie, dass in diesen Situationen der „letzte Schreibvorgang gewinnt“, sodass Dateien in gespiegelten Ordnern, die in mehr als einer Sitzung geändert wurden, durch die letzte Aktualisierung überschrieben werden, wodurch Profiländerungen verloren gehen können.

Eine neue Option mit WEM 1808 ist das UPM Feature Large File Handling. Große Dateien, die in einem Profil vorhanden sind, sind ein häufiger Grund für eine langsame An- oder Abmeldung. Citrix bietet eine Option zum Umleiten großer Dateien (als symbolische Links) in den Benutzerspeicher.

Diese Option macht die Synchronisierung dieser Dateien über das Netzwerk überflüssig. Sie können Wildcards in Richtlinien verwenden, die sich auf Dateien beziehen.

Zum Beispiel:
!ctx_localappdata!\Microsoft\Outlook\*.ost

Stellen Sie sicher, dass diese Dateien nicht zur Ausschlussliste von Citrix Profile Management hinzugefügt werden.

Einige Anwendungen erlauben keinen gleichzeitigen Dateizugriff. Citrix empfiehlt, dass Sie das Anwendungsverhalten berücksichtigen, wenn Sie Ihre Richtlinie zur Behandlung großer Dateien definieren.

Streamed User Profiles

Policies and Profiles Citrix Profile Management Settings Streamed User Profiles

Mit der Funktion Streamed User Profiles werden Dateien und Ordner, die in einem Profil enthalten sind, nur dann vom Benutzerspeicher auf den lokalen Computer geholt, wenn sie von Benutzern nach der Anmeldung aufgerufen werden.

Registrierungseinträge und alle Dateien in der pending area werden sofort abgerufen.

Cross-Platform Settings

Policies and Profiles Citrix Profile Management Settings Cross Plattform Settings

Diese Einstellung aktiviert oder deaktiviert die Funktion Cross-Platform Settings, mit der Sie die Benutzerprofile migrieren können, wenn sich ein Benutzer mit derselben Anwendung verbindet, die auf mehreren Betriebssystemen läuft.

  • Cross-Platform Settings im Profilmanagement funktionieren mit einer Reihe von unterstützten Betriebssystemen (OSs) und Anwendungen.
  • Konfigurieren Sie diese Funktion nur in einer Produktionsumgebung.
  • Microsoft Office-Einstellungen werden nicht zwischen Versionen dieser Anwendung ausgetauscht.
  • Diese Funktion ist für Registrierungs- und Anwendungseinstellungen geeignet.
  • Dies gilt nicht für Dateien oder Ordner oder Objekte, die typischerweise mit Ordnerumleitung verwendet werden (z.B. Browser-Favoriten, Desktop- und Startmenüeinstellungen).
  • Wenn Sie mit dieser Funktion Benutzerprofile zwischen Systemen mit unterschiedlichen Profilversionen migrieren, deaktivieren Sie diese nach Abschluss der Migration für alle Benutzer.
  • Bei der Verwendung dieser Funktion ergeben sich einige Auswirkungen auf die Leistung, vor allem bei Abmeldungen. Daher ist es am besten, es deaktiviert zu lassen, es sei denn, Sie unterstützen das Roaming zwischen den Profilversionen.

VMware Persona Settings

Policies and Profiles VMware Persona Settings

Diese Einstellungen steuern die Integration von VMware Persona in WEM. Bitte beachten Sie, dass einige Optionen nur mit bestimmten Versionen von View Persona funktionieren. In der entsprechenden VMware Dokumentation finden Sie detaillierte Anweisungen.

Diese Einstellungen werden mit den neueren Versionen von WEM nicht mehr angeboten.

Security

Mit den Security Einstellungen steuern Sie z.B. welche Anwendungen Benutzer ausführen dürfen. Diese Funktionalität ähnelt Windows AppLocker.

Wenn Sie mit Workspace Environment Management bestehende Windows AppLocker-Regeln verwalten, werden die Regeln in die Registerkarte Application Security importiert.

Wenn Sie die Verarbeitungsregeln des Agenten stoppen, bleiben sie im Konfigurationssatz erhalten und AppLocker fährt mit dem letzten vom Agenten verarbeiteten Befehlssatz fort.

Application Security

Wenn Sie auf der Registerkarte Security das Element Application Security auswählen, stehen die folgenden Optionen zur Aktivierung oder Deaktivierung der Regel Verarbeitung zur Verfügung:

Security Application Security
  • Process Application Security Rules
    • Wenn diese Option ausgewählt ist, sind die Steuerelemente der Registerkarte Application Security aktiviert, und der Agent verarbeitet Regeln des aktuellen Configuration Sets und konvertiert sie in AppLocker-Regeln auf dem Host.
    • Wenn diese Option nicht ausgewählt ist, sind die Steuerelemente der Registerkarte Application Security deaktiviert und der Agent verarbeitet keine Regeln. (In diesem Fall werden AppLocker-Regeln nicht aktualisiert und die letzten Anweisungen, die vom Agenten verarbeitet wurden, sind noch aktiv.)
    • Diese Option sind nicht verfügbar, wenn die WEM Administration Console unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 (oder früheren Versionen) installiert ist.
  • Process DLL Rules
    • Wenn diese Option ausgewählt ist, verarbeitet der WEM Agent DLL-Regeln des aktuellen Configuration Sets und konvertiert diese in AppLocker-DLL-Regeln auf dem Host. Diese Option ist nur verfügbar, wenn Process Application Security aktiviert ist.
    • Wenn Sie DLL-Regeln verwenden wollen, sollten Sie vorher DLL-Regeln, mit der Berechtigung Allow, für alle DLLs erstellen, die von erlaubten Applikationen verwendet werden.
    • Wenn Sie DLL-Regeln verwenden, kann die User Experience der Benutzer beeinträchtigt werden. Dies geschieht, weil AppLocker jede DLL überprüft, die eine App lädt, bevor sie ausgeführt werden darf.

Rule Collections

Die WEM Application Security Regeln gehören zur AppLocker Regelsammlung. Jeder Sammlungsname im Menü gibt an, wie viele aktive Regeln er enthält, z.B. Executable Rules (3). Klicken Sie auf einen Sammlungsnamen, um die Regelliste nach einer der folgenden Sammlungen zu filtern:

Security Application Security Rule Collections
  • Executable Rules
    • Regeln die einer Anwendung zugeordnet sind und die Erweiterungen .exe und .com enthalten.
  • Windows Rules
    • Regeln die Installationsdateiformate (.msi, .msp, .mst) enthalten und die Installation von Dateien auf Clientcomputern und Servern steuern.
  • Script Rules
    • Regeln die Dateien der folgenden Formate enthalten: .ps1, .bat, .cmd, .vbs, .js.
  • Packaged Rules
    • Regeln, die gepackte Apps, auch als Universal Windows-Apps bezeichnet, enthalten. In gepackten Apps haben alle Dateien innerhalb des App-Pakets dieselbe Identität. Daher kann eine Regel die gesamte App steuern. Workspace Environment Management unterstützt nur Publisher-Regeln für gepackte Apps.
  • DLL Rules
    • Regeln, die Dateien der folgenden Formate enthalten: .dll, .ocx.
Security Application Security Rule Enforcement

Wenn Sie die Regelliste nach einer Sammlung filtern, steht die Option Rule enforcement zur Verfügung, um zu steuern, wie AppLocker alle Regeln in dieser Sammlung auf dem Agent Host erzwingt. Die folgenden Werte für das durchsetzen von Regeln sind möglich:

  • Off (default)
    • Regeln werden erstellt und deaktiviert, d.h. sie werden nicht angewendet.
  • On
    • Regeln werden erstellt und aktiviert, d.h. sie sind auf dem Agenten Host aktiv.
  • Audit
    • Die Regeln werden erstellt und auf Audit gesetzt, d.h. sie befinden sich in einem inaktiven Zustand auf dem Agenten Host. Windows protokolliert, wenn Dinge gestartet werden, die gegen diese Regeln verstoßen würden.

Am unteren Rand stehen noch verschiedene Actions zur Verfügung. 

Security Application Security Add Default Rule
  • Edit
    • Sie können eine oder mehrere Regeln in der Liste auswählen. Wählen Sie im Editor die Zeilen mit den Benutzern und Benutzergruppen aus, denen Sie die Regel zuordnen möchten. Sie können die ausgewählten Regeln auch von allen Benutzern aufheben, indem Sie Select All auswählen, um alle Auswahlen zu löschen.
    • Wenn Sie mehrere Regeln auswählen, werden alle Regel Änderungen für diese Regeln auf alle von Ihnen ausgewählte Benutzer und Benutzergruppen angewendet. Mit anderen Worten, vorhandene Regelzuweisungen werden in diesen Regeln zusammengeführt.
  • Add Default Rules
    • Der Liste werden eine Reihe von AppLocker Standardregeln hinzugefügt.
  • Delete
    • Wählen Sie eine oder mehrere Regeln in der Liste aus und löschen Sie sie.

Process Management

Security Process Management

Wenn Sie Process Management aktivieren, können Sie bestimmte Prozesse auf die White- oder Blacklist setzen. Sie können lokale Administratoren und/oder bestimmte Gruppen sowohl von der White- als auch von der Blacklist ausschließen. Diese Option funktioniert nur, wenn der Sitzungsagent in der Benutzersitzung ausgeführt wird.

Security Process Management Process Blacklist
  • Process Blacklist
    • Sie können der Blacklist bestimmte Prozesse hinzufügen, die nicht ausgeführt werden sollen. Prozesse müssen über den Namen der ausführbaren Datei hinzugefügt werden (z.B. cmd.exe).
Security Process Management Process Whitelist
  • Process Whitelist
    • Prozesse müssen über den Namen der ausführbaren Datei hinzugefügt werden (z.B. cmd.exe). Wenn aktiviert, alle Prozesse die nicht in der Whitelist enthalten sind, werden automatisch gesperrt

Links zu den anderen Teilen

Ein Gedanke zu „WEM Administration Console – Teil 2 (System Optimization, Policies & Profiles und Security)“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* I consent to having this website store my submitted information so they can respond to my inquiry.