WEM Administration Console – Teil 2 (System Optimization, Policies & Profiles und Security)

Nun geht es weiter mit dem zweiten Teil der Serie ├╝ber die WEM Administration Console. Hier gebe ich einen Einblick in die Men├╝punkte System Optimization, Policies & Profiles und Security.

System Optimization

Diese Einstellungen dienen dazu, die Ressourcen Nutzung auf dem Host zu verringern. Sie dienen dazu, dass Ressourcen freigegeben werden und f├╝r andere Anwendungen verf├╝gbar sind, hierdurch wird die Benutzerdichte pro Host erh├Âht. Die System Optimization ist Maschinen basierend.

Wenn Ihre virtuellen Maschinen unterschiedliche Hardwarekonfigurationen haben, sollten Sie mehrere Configuration Sets f├╝r sie erstellen und die System Optimization Einstellungen f├╝r jeden Configuration Set unterschiedlich konfigurieren. Maschinen k├Ânnen nur zu einem Configuration Set geh├Âren.

WEM Administration Console - Teil 2 (System Optimization, Policies & Profiles und Security)

Alle Einstellungen m├╝ssen auf der jeweiligen Registerkarte mit Apply best├Ątigt werden.

System Optimization Actions

CPU Management

Prozesse k├Ânnen ├╝ber alle Cores laufen und k├Ânnen so viel CPU beanspruchen, wie sie m├Âchten. In Workspace Environment Management k├Ânnen Sie mithilfe des CPU Management festlegen, wie viel CPU-Kapazit├Ąt von einzelnen Prozessen verwendet werden k├Ânnen.

CPU Management Settings

  • Enable CPU Spikes Protection
    • Wenn ein einzelner Prozess eine konfigurierbare Schwelle (CPU Usage Limit) f├╝r eine bestimmte Zeit (Limit Sample Time) erreicht, verringert WEM automatisch die Priorit├Ąt des Prozesses f├╝r eine definierte Zeit (Idle Priority Time). Wenn mehrere einzelne Prozesse zusammen den angegebenen Schwellenwert ├╝berschreitet, wird die CPU Spikes Protection nicht aktiviert, sie wird nur aktiviert wen eine einzelne Prozessinstanz den Schwellenwert ├╝berschreitet.
    • Die CPU Spikes Protection ist nicht daf├╝r ausgelegt, die allgemeine CPU-Auslastung zu reduzieren. Es soll die Auswirkungen auf die Benutzererfahrung durch Prozesse reduzieren, die einen ├╝berm├Ą├čigen Prozentsatz der CPU-Auslastung beanspruchen. Beachten Sie, dass der Prozess nicht wie bei CPU Clamping gedrosselt wird. Nur die Priorit├Ąt wird reduziert.
  • CPU Usage Limit (%)
    • Legt fest, wie viel Prozent der CPU ein Prozess verwenden kann, bevor die Priorit├Ąt herabgesetzt wird.
    • Grundregel f├╝r die Berechnung des Wertes lautet, nehme 100%, dividiere es durch die Anzahl der CPUs und ziehe 1 ab. Dadurch wird verhindert, dass ein einzelner Prozess eine CPU komplett auslastet.
Beispiel: 

CPU Usage Limit = ( 100% / <NumCPUs> ) - 1

F├╝r einen 4 Core XenApp Server: 
( 100% / 4 ) - 1 = 24%´╗┐

F├╝r eine 2 Core VDI Maschine: 
( 100% / 2 ) - 1 = 49%´╗┐

  • Limit Sample Time (s)
    • Legt fest, wie lange ein Prozess in Sekunden die CPU Usage Limit ├╝berschreiten kann, bevor die Priorit├Ąt herabgesetzt wird, was im Vergleich zu CPU Clamping ein weniger aggressiver Ansatz ist.
  • Idle Priority Time (s)
    • Definiert die Zeit in Sekunden, f├╝r die eine Prozesspriorit├Ąt herabgesetzt wird, bevor sie zu ihrer vorherigen Priorit├Ąt zur├╝ckkehrt.
System Optimization CPU Management CPU Management Settings
  • Limit CPU / Core usage
    • Mit dieser Einstellung k├Ânnen Sie den Prozess auf eine bestimmte Anzahl von Cores beschr├Ąnken (Anzahl der logischen Prozessoren in der VM, nicht in der zugrunde liegenden physischen Hardware), sobald die CPU Spikes Protection durch erreichen des Schwellwertes ausgel├Âst wird.
  • Enable Intelligent CPU Optimization
    • Durch diese Einstellung werden Prozesse, die ein Benutzer in seiner Sitzung startet, initial mit einer CPU-Priorit├Ąt von Hoch festgelegt. Immer wenn ein bestimmter Prozess die Spikes Protection ausl├Âst, wird das Ereignis in der lokalen Datenbank des Agenten aufgezeichnet (F├╝r jeden Benutzer separat). Desto ├Âfters ein Prozess die Spikes Protection ausl├Âst, desto niedriger wird die Priorit├Ąt des Prozesses beim n├Ąchsten Start des selben Benutzer festgelegt.
    • Zum Beispiel startet User 1 zum ersten mal den Internet Explorer und WEM wird dem Prozess iexplore von User 1 initial die Priorit├Ąt Hoch zuweisen. Wenn Internet Explorer wiederholt die Spikes Protection ausl├Âst, f├╝hrt WEM den Prozess beim n├Ąchsten Start des Users mit der n├Ąchst niedrigeren CPU-Priorit├Ąt aus, z.B. Above Normal. Wenn der Prozess weiterhin die Spikes Protection ausl├Âst, wird er mit der n├Ąchst niedrigeren Priorit├Ąt gestartet, bis er schlie├člich mit der niedrigsten Priorit├Ąt startet. Beachten Sie, dass Priorit├Ąten f├╝r Prozesse, die auf der Registerkarte CPU Priority festgelegt wurden, die Funktion Intelligent CPU Optimization ├╝berschreiben.
  • Enable Intelligent IO Optimization
    • Dies funktioniert genauso wie die CPU Optimization, jedoch f├╝r I/O (Verringern der Priorit├Ąt nach Ausl├Âsung der Spikes Protection).
  • Exclude specified processes
    • Erm├Âglicht das Ausschlie├čen bestimmter Prozesse von der Spikes Protection.
    • Die CPU-Verwaltung schlie├čt standardm├Ą├čig die meisten g├Ąngigen Citrix- und Windows-Core Prozesse aus.
    • Sie k├Ânnen hier festlegen, dass Antivirus-Prozesse ausgeschlossen werden sollen. Geben Sie diesen Prozessen jedoch eine niedrige I/O-Priorit├Ąt, um zu vermeiden, dass zu viel Festplatten-I/O verbraucht wird.
    • Sie geben einen Prozessnamen so ein, wie er im Task-Manager zu finden ist, jedoch ohne die Erweiterung explorer anstelle von explorer.exe.
    • Wenn ein Prozess durch Spikes Protection reguliert wird, generiert WEM unter „Application and Service Logs / Norskale Agent Service“ einen Eintrag, der den betroffenen Prozess angibt.

CPU Priority

Auf der Registerkarte CPU Priority k├Ânnen Sie Prozesse angeben, z.B. explorer.exe, und eine Standard Priorit├Ąt zuweisen, die dem Prozess mehr oder weniger CPU Zeit erlaubt. Einen Prozess die Priorit├Ąt Realtime zuzuweisen wird nicht empfohlen.

Wenn Sie einem Prozess, z.B. explorer.exe, die Priorit├Ąt Normal zuweisen, beginnt der Prozess mit dieser Priorit├Ątsstufe und f├Ąllt nie auf eine niedrigere Priorit├Ąt zur├╝ck, jedoch kann er mit einer h├Âheren Priorit├Ąt ausgef├╝hrt werden.

System Optimization CPU Management CPU Priority

CPU Affinity

Auf der Registerkarte CPU Affinity k├Ânnen Sie die CPU Belegung f├╝r Prozesse festlegen. Dies bestimmt, wie viele logische CPU-Kerne ein Prozess verwendet.

Sie k├Ânnen zum Beipiel explorer.exe so konfigurieren das es 2 Cores verwendet.

System Optimization CPU Management CPU Affinity

CPU Clamping

CPU Clamping hindert Prozesse daran, mehr als einen vorher konfigurierbaren Prozentsatz Leistung der CPU zu verbrauchen. WEM drosselt oder klemmt den Prozess ab, wenn die angegebene CPU % erreicht ist. Auf diese Weise k├Ânnen Sie verhindern, dass einzelne Prozesse gro├če Mengen an CPU verbrauchen und so den Host lahm legen. Um die CPU Auslastung eines problematischen Prozesses niedrig zu halten, ist es dennoch besser, die CPU Spikes Protection, CPU Priority und CPU Affinity zu verwenden.

CPU Clamping ist am besten f├╝r die Steuerung von Prozessen reserviert, die sich bekannterma├čen schlecht durch das Ressourcen Management Regeln lassen, jedoch keine Priorit├Ąt haben. Der vorher konfigurierte Prozentsatz des Clamping bezieht sich auf die Gesamtleistung aller CPUs im Server, nicht auf einen einzelnen darin enthaltenen Core. (Mit anderen Worten: 10% einer Quad-Core-CPU machen 10% der gesamten CPU aus, nicht 10% eines Kerns).

Wenn Workspace Environment Management einen Prozess blockiert, f├╝gt es den Prozess zu seiner Watchlist, die der WEM Client initialisiert, hinzu. Sie k├Ânnen ├╝berpr├╝fen, ob ein Prozess gedrosselt wurde, indem Sie sich dies anzeigen lassen.

System Optimization CPU Management CPU Clamping

Memory Management

Wenn diese Einstellungen aktiviert sind, berechnet Workspace Environment Management, wie viel RAM ein Prozess verwendet, und wie viel RAM mindestens ben├Âtigt wird, ohne dass die Stabilit├Ąt beeintr├Ąchtigt wird. WEM betrachtet die Differenz als zu viel RAM. Wenn sich der Prozess im Leerlauf befindet (normalerweise wird die Anwendung in die Taskleiste minimiert), gibt WEM den ├╝bersch├╝ssigen RAM des Prozesses f├╝r die Auslagerungsdatei frei und optimiert den Prozess f├╝r nachfolgende Startvorg├Ąnge. Wenn Anwendungen ├╝ber die Taskleiste wiederhergestellt werden, werden sie zun├Ąchst in ihrem optimierten Status ausgef├╝hrt, k├Ânnen jedoch nach Bedarf weiterhin zus├Ątzlichen Arbeitsspeicher beanspruchen.

WEM optimiert alle Anwendungen, die ein Benutzer w├Ąhrend seiner Desktopsitzung verwendet. Der gesamte freigegebene Arbeitsspeicher kann f├╝r andere Prozesse zur Verf├╝gung gestellt werden. Dies erh├Âht die Benutzerdichte, indem eine gr├Â├čere Anzahl von Benutzern auf demselben Server unterst├╝tzt werden.

System Optimization Memory Management

Sie k├Ânnen die Working Set Optimization (WSO) aktivieren, wodurch der ├╝bersch├╝ssige Speicher aus inaktiven Anwendungen entfernt wird, wenn diese f├╝r eine bestimmte Zeit nicht verwendet wurden. Prozesse k├Ânnen aus WSO ausgeschlo├čen werden (Exclude Specified Processes), so das diese Prozesse nicht von WSO beeinflusst werden. Mit der Idle Sample Time, bestimmen wir den Zeitraum den WSO zur Verf├╝gung gestellt bekommt, um die Standard Arbeitsspeicherauslastung und die geringste Menge an Arbeitsspeicher zu berechnen, die ein Prozess ben├Âtigt, ohne die Stabilit├Ąt zu beeintr├Ąchtigen.

Ein Beispiel f├╝r WSO ist, wenn ein Benutzer Internet Explorer ├Âffnet und mehrere Websites durchsucht. W├Ąhrend dieser Zeit berechnet WSO die Menge des verwendeten RAM plus die geringste erforderliche Menge an RAM. Wenn der Benutzer mit Internet Explorer fertig ist und die prozentuale CPU des Internet Explorer-Prozesses auf den f├╝r Idle State Limit festgelegten Wert absinkt, zwingt WEM den Prozess dazu, den zuvor berechneten ├╝bersch├╝ssigen Arbeitsspeicher freizugeben. Der RAM wird freigegeben, indem er in die Auslagerungsdatei geschrieben wird.

Es ist wichtig, dass Sie den Wert f├╝r das Idle State Limit nicht zu hoch einstellen, da Sie nicht m├Âchten, dass WEM den Prozess dazu zwingt, den RAM freizugeben, wenn der Prozess aktiv ist. Der Standardwert ist 1%. Dies bedeutet, dass im vorherigen Beispiel der ├╝bersch├╝ssige Arbeitsspeicher freigegeben wird, sobald Internet Explorer auf 1% sinkt. Citrix empfiehlt nicht, den Wert auf mehr als 5% einzustellen.

In SBC-Umgebungen ist die Working Set Optimization ein absolutes Muss, da mehr Benutzer auf einen Server passen. In VDI Umgebungen sollte man dies unterlassen, da die Benutzer dort ├╝ber dedizierte virtuelle Maschinen, mit dedizierten Ressourcen verf├╝gen.

Es gibt viele Umgebungen, insbesondere solche, die ├╝ber PVS bereit gestellt werden, in denen die Anwendungen Daten in das Page File auslagern. Daher verbleiben die kompletten Anwendungsdaten im RAM. In diesem Fall kann WSO extrem vorteilhaft sein. Idealerweise w├╝rden Sie WEM in einer POC-Umgebung modellieren und ├╝berwachen, um sie an Ihre speziellen Anforderungen anzupassen.

Die Idle Sample Time sollte auf etwa 10 Minuten reduziert werden (Standardeinstellung ist 30 Minuten).

I/O Management

Im I/O Management Modul k├Ânnen Sie die I/O Priority f├╝r Prozesse festlegen. Dies kann n├╝tzlich sein, wenn Sie eine stark beanspruchte Festplatte von unn├Âtigen Zugriffen befreien wollen. Diese Funktion funktioniert genauso wie die CPU Priority, jedoch f├╝r Netzwerk- und Festplatten-I/O.

F├╝gen Sie einen Prozessnamen mit seiner Erweiterung hinzu, zum Beispiel explorer.exe, und legen Sie eine I/O Priority fest. Beim n├Ąchsten Neustart dieses Prozesses wird die I/O Priority angewendet.

System Optimization I/O Management I/O Priority

Fast Logoff

Auf der Registerkarte Fast Logoff k├Ânnen Sie eine visuelle schnelle Abmeldung aktivieren. Mit Fast Logoff wird ein Benutzer sofort abgemeldet und im Hintergrund werden die zus├Ątzlichen Abmeldeaufgaben ausgef├╝hrt. Dies bedeutet im Wesentlichen, dass der Benutzer sofort getrennt wird und die Abmeldung wie gewohnt im Hintergrund erfolgt. Sie k├Ânnen dies aktivieren und bestimmte Gruppen von der Verarbeitung ausschlie├čen.

System Optimization Fast Logoff

Policies and Profiles

Mit diesen Einstellungen k├Ânnen Sie Benutzer-GPOs ersetzen und Benutzerprofile konfigurieren, um die Anmeldung zu beschleunigen.

Policies and Profiles

Alle Einstellungen m├╝ssen auf der jeweiligen Registerkarte mit Apply best├Ątigt werden.

Policies and Profiles Actions

Environmental Settings

Diese Optionen ├Ąndern die Environmental Settings des Benutzers. Einige der Optionen werden erst bei der Anmeldung verarbeitet, w├Ąhrend andere auch in der Sitzung, mit dem Agent Refresh, aktualisiert werden k├Ânnen.

Start Menu

Diese Optionen ├Ąndern das Startmen├╝ und das Erscheinungsbild der Taskleiste des Benutzers.

  • Process Environmental Settings
    • Mit dieser Checkbox k├Ânnen Sie festlegen, ob der Agent Environmental Settings verarbeitet. Wenn es nicht aktiviert ist, werden keine Environmental Settings verarbeitet
  • Exclude Administrators
    • Wenn aktiviert, werden Environmental Settings f├╝r Administratoren nicht verarbeitet, selbst wenn der Agent gestartet wird
  • Hide Common Programs
    • H├Ąlt das Startmen├╝ frei von Standard Icons aus dem All Users Profil
  • Force Logoff Button
    • Legen Sie im Men├╝ Ein/Aus die Option Abmelden als Standardaktion fest
  • Turn Off Notification Area Cleanup
    • Der Taskleisten Benachrichtigungsbereich wird keine Benachrichtigungen ausblenden und alle anzeigen
  • Turn Off Personalized Menus
    • Blendet die Personalized Menus aus, die oben an das Start Men├╝ angeheftet werden und die zuletzt verwendeten Elemente enth├Ąlt
  • Clear Recent Programs List
    • L├Âscht den Verlauf der zuletzt ge├Âffneten Dokumente beim Abmelden

Mit den anderen selbsterkl├Ąrenden Optionen k├Ânnen Sie Men├╝ Schaltfl├Ąchen im Startmen├╝ oder in der Taskleiste ausblenden oder entfernen.

Policies and Profiles Environmental Settings Start Menu

Mit den User Interface: Appearance Einstellungen k├Ânnen Sie das Windows-Design und den Desktop (Hintergrundfarbe, Hintergrundbild usw.) des Benutzers anpassen. Pfade zu Ressourcen m├╝ssen aus der Sicht des Benutzers eingegeben werden.

Desktop

Policies and Profiles Environmental Settings Desktop

Mit User Interface: Desktop steuern Sie, welche Desktop-Elemente und Eigenschaften vom Agenten deaktiviert werden (f├╝r alle unterst├╝tzten Betriebssysteme) und mit User Interface: Edge UI k├Ânnen Sie Aspekte der Windows 8.x Edge-Benutzeroberfl├Ąche deaktivieren.

Windows Explorer

Policies and Profiles Environmental Settings Windows Explorer

Mit User Interface: Explorer steuern Sie verschiedene Aspekte des Windows-Explorers und verhindern z.B. den Zugriff auf Regedit und Cmd.

Seien Sie vorsichtig mit den Optionen „Disable Silent Regedit“ und „Disable Cmd Scripts“. Dadurch wird n├Ąmlich auch verhindert, dass Anmeldeskripts und Registry-Hacks au├čerhalb von WEM ausgef├╝hrt werden k├Ânnen.

In Drives Restrictions haben Sie zwei Optionen f├╝r das verbergen von Laufwerken.

  • Hide Specified Drives
    • Die aufgelisteten Laufwerke werden im Arbeitsplatz des Benutzers ausgeblendet. Sie sind weiterhin zug├Ąnglich, wenn Sie direkt zu ihnen navigieren.
  • Restrict Specified Drives
    • Die aufgef├╝hrten Laufwerke sind ausgeblendet und gesperrt. Weder der Benutzer noch seine Anwendungen k├Ânnen auf sie zugreifen.

Control Panel

Policies and Profiles Environmental Settings Control Panel

Die Option Hide Control Panel ist standardm├Ą├čig aktiviert, um die Benutzerumgebung abzusichern. Mit Show / Hide only specified Control Panel Applets definieren Sie die Control Panel Elemente, die f├╝r den Benutzer ausgeblendet/eingeblendet werden. Zus├Ątzliche Applets k├Ânnen mit ihrem kanonischen Namen zu der jeweiligen Liste hinzugef├╝gt werden.

Applet NameCanonical Name
Action Center
Microsoft.ActionCenter
Administrative ToolsMicrosoft.AdministrativeTools
AutoPlayMicrosoft.AutoPlay
Biometric DevicesMicrsosoft.BiometricDevices
BitLocker Drive EncryptionMicrosoft.BitLockerDriveEncryption
Color ManagementMicrosoft.ColorManagement
Credential ManagerMicrosoft.CredentialManager
Date and TimeMicrosoft.DateAndTime
Default ProgramsMicrosoft.DefaultPrograms
Device ManagerMicrosoft.DeviceManager
Devices and PrintersMicrosoft.DevicesAndPrinters
DisplayMicrosoft.Display
Ease of Access CenterMicrosoft.EaseOfAccessCenter
Family SafetyMicrosoft.ParentalControls
File HistoryMicrosoft.FileHistory
Folder OptionsMicrosoft.FolderOptions
FontsMicrosoft.Fonts
HomeGroupMicrosoft.HomeGroup
Indexing OptionsMicrosoft.IndexingOptions
InfraredMicrosoft.Infrared
Internet OptionsMicrosoft.InternetOptions
iSCSI InitiatorMicrosoft.iSCSIInitiator
iSNS ServerMicrosoft.iSNSServer
KeyboardMicrosoft.Keyboard
LanguageMicrosoft.Language
Location SettingsMicrosoft.LocationSettings
MailMail
MouseMicrosoft.Mouse
MPIOConfigurationMicrosoft.MPIOConfiguration
Network and Sharing CenterMicrosoft.NetworkAndSharingCenter
Notification Area IconsMicrosoft.NotificationAreaIcons
Pen and TouchMicrosoft.PenAndTouch
PersonalizationMicrosoft.Personalization
Phone and ModemMicrosoft.PhoneAndModem
Power OptionsMicrosoft.PowerOptions
Programs and FeaturesMicrosoft.ProgramsAndFeatures
RecoveryMicrosoft.Recovery
RegionMicrosoft.RegionAndLanguage
RemoteApp and Desktop ConnectionsMicrosoft.RemoteAppAndDesktopConnections
SoundMicrosoft.Sound
Speech RecognitionMicrosoft.SpeechRecognition
Storage SpacesMicrosoft.StorageSpaces
Sync CenterMicrosoft.SyncCenter
SystemMicrosoft.System
Tablet PC SettingsMicrosoft.TabletPCSettings
Taskbar and NavigationMicrosoft.Taskbar
TroubleshootingMicrosoft.Troubleshooting
TSAppInstallMicrosoft.TSAppInstall
User AccountsMicrosoft.UserAccounts
Windows Anytime UpgradeMicrosoft.WindowsAnytimeUpgrade
Windows DefenderMicrosoft.WindowsDefender
Windows FirewallMicrosoft.WindowsFirewall
Windows Mobility CenterMicrosoft.MobilityCenter
Windows To GoMicrosoft.PortableWorkspaceCreator
Windows UpdateMicrosoft.WindowsUpdate
Work FoldersMicrosoft.WorkFolders

Known Folders Management

Policies and Profiles Environmental Settings Known Folder Management

Verhindert die Erstellung der angegebenen Ordner des Benutzerprofils bei der Profilerstellung.

SBC/ HVD Tuning

Policies and Profiles Environmental Settings SBC/HVD Tuning

Mit SBC / HVD Tuning k├Ânnen Sie verschiedene Optionen f├╝r die Optimierung der Leistung bei Verwendung von Sitzungshosts wie Virtual Apps oder SharedDesktops aktivieren. Einige der Optionen dienen der Leistungssteigerung, k├Ânnen jedoch die Benutzererfahrung etwas beeintr├Ąchtigen.

Microsoft USV Settings

Mit den Microsoft USV Settings k├Ânnen Sie WEM f├╝r die Konfiguration der Microsoft Roaming Profile und Ordnerumleitung nutzen.

Roaming Profiles Configuration

Policies and Profiles Microsoft USV Settings Roaming Profiles Configuration

Wenn die Checkbox Process User State Virtualization Configuration deaktiviert ist, werden keine USV-Einstellungen (Roaming-Profil oder Ordnerumleitung) verarbeitet. Wenn die Option aktiviert ist, k├Ânnen Sie mit den Optionen dadrunter ihr Roaming Profil und Ihr RDS Home Laufwerk definieren.

Roaming Profiles Advanced Configuration

Policies and Profiles Microsoft USV Settings Roaming Profiles Advanced Configuration

Wenn Enable Folder Exclusion aktiviert ist, sind die aufgelisteten Ordner nicht im servergespeicherten Profil eines Benutzers enthalten. Auf diese Weise k├Ânnen Sie bestimmte Ordner in ihrem Roaming Profile ausschlie├čen, von denen bekannt ist, dass sie gro├če Datenmengen enthalten, die der Benutzer nicht als Teil seines servergespeicherten Profils ben├Âtigt. Die Liste ist mit den Standardausschl├╝ssen von Windows 7 vorgef├╝llt und kann auch noch  mit den Standardausschl├╝ssen von Windows XP aufgef├╝llt werden. Die anderen Checkboxen sind selbsterkl├Ąrend.

Profile Cleansing

Die Schaltfl├Ąche Profile Cleansing ├Âffnet einen Assistenten, mit dem Sie vorhandene Profile anhand der Ordnerausschluss Einstellungen bereinigen k├Ânnen.

Folder Redirection

Policies and Profiles Microsoft USV Settings Folder Redirection

Die Checkbox Process Folder Redirection Configuration muss aktiviert sein, oder der Agent verarbeitet keine Ordnerumleitungen. W├Ąhlen Sie hier die Optionen f├╝r die einzelnen Ordner aus, um zu steuern, ob und wohin die Ordner des Benutzers umgeleitet werden.

Policies and Profiles Microsoft USV Settings Folder Redirection Delete Local Redirected Folders

Wenn Delete Local Redirected Folders aktiviert ist, l├Âscht der Agent die lokalen Kopien der umgeleiteten Ordner.

Citrix Profile Management Settings

Workspace Environment Management unterst├╝tzt die Funktionen der aktuellen Version von Citrix Profile Management.

Main Citrix Profile Management Settings

Policies and Profiles Citrix Profile Management Settings Main Citrix Profile Management Settings

Wenn Sie die Checkbox Enable Profile Management Configuration aktivieren, werden die Profileinstellungen verarbeitet. Die ├╝brigen Checkboxen werden wie bei den anderen UPM Konfiguration Methoden (GPO/Citrix Studio) festgelegt.

Profile Handling

Policies and Profiles Citrix Profile Management Settings Profile Handling

Diese Einstellungen steuern die Profile Handling Einstellungen. Zum Beispiel das l├Âschen des lokal gepeicherten Profiles usw.

Advanced Settings

Policies and Profiles Citrix Profile Management Settings Advanced Settings

Diese Optionen dienen der erweiterten UPM Konfiguration (z.B. Anzahl Wiederholungen bei gesperrten Dateien im Profile). In der WEM Version 1808 ist endlich das UPM Feature Enable search index roaming for Microsoft Outlook users hinzugekommen. Wenn dies aktiviert ist, werden die benutzerspezifische Microsoft Outlook Offline Ordnerdateien (* .ost) und die Microsoft Suchdatenbank zusammen mit dem Benutzerprofil bereit gestellt. Dies verbessert die Benutzererfahrung beim Durchsuchen von E-Mails in Microsoft Outlook.

Log Settings

Policies and Profiles Citrix Profile Management Settings Log Settings

Diese Optionen steuern die Log Settings der Profilverwaltung.

Registry

Policies and Profiles Citrix Profile Management Settings Registry

Hiermit steuern Sie die Registry Einstellungen des Profile Management. Wenn NTUSER.DAT Backup ausgew├Ąhlt ist, verwaltet das Profile Management die letzte bekannte Sicherung der NTUSER.DAT. Wenn der UPM Agent eine Besch├Ądigung feststellt, verwendet es die letzte bekannte Sicherungskopie, um das Profil wiederherzustellen.
Enable Default Exclusion List ist eine Standardliste von Registry Keys aus der HKCU-Struktur. Wenn diese Option ausgew├Ąhlt ist, werden die in dieser Liste ausgew├Ąhlten Registry Keys zwangsweise von UPM ausgeschlossen.

File System

Policies and Profiles Citrix Profile Management Settings File System

Durch die Aktivierung des Enable Logon Exclusion Check wird festgelegt, was UPM bei der Anmeldung eines Benutzers mit den Profiledateien macht, wenn das Profil im Benutzerspeicher ausgeschlossene Dateien oder Ordner enth├Ąlt. (Wenn deaktiviert, lautet das Standardverhalten Ausgeschlossene Dateien und Ordner synchronisieren). Sie k├Ânnen aus den folgenden Optionen ausw├Ąhlen:

  • Synchronize excluded files or folders (default)
    • UPM synchronisiert diese ausgeschlossenen Dateien und Ordner aus dem Benutzerspeicher mit dem lokalen Profil, wenn sich ein Benutzer anmeldet.
  • Ignore excluded files or folders
    • UPM ignoriert die ausgeschlossenen Dateien und Ordner im Benutzerspeicher, wenn sich ein Benutzer anmeldet.
  • Delete excluded files or folder
    • UPM l├Âscht die ausgeschlossenen Dateien und Ordner im Benutzerspeicher, wenn sich ein Benutzer anmeldet.

Enable File / Folder Exclusion aktiviert, dass die aufgelisteten Dateien nicht im Profile des Benutzers enthalten sind. Pfade in dieser Liste m├╝ssen relativ zum Benutzerprofil sein.

Synchronisation

Policies and Profiles Citrix Profile Management Settings Synchronisation

Mit Enable Directory / File Synchronization erweitern Sie das Benutzerprofil mit den aufgelisteten Ordnern und Dateien. Pfade in dieser Liste m├╝ssen relativ zum Benutzerprofil sein. Wildcards k├Ânnen verwendet werden, sind aber nur f├╝r Dateinamen zul├Ąssig.

Aktiviere Enable Folder Mirroring und die aufgelisteten Ordner werden in den Profilspeicher gespiegelt. So wird sichergestellt, dass Benutzer immer die aktuellsten Versionen dieser Ordner erhalten. Durch das Spiegeln von Ordnern kann die Profilverwaltung einen Transaktionsordner und seinen Inhalt als eine Einheit verarbeiten, wodurch das Aufbl├Ąhen des Profils vermieden wird. Beachten Sie, dass in diesen Situationen der ÔÇ×letzte Schreibvorgang gewinntÔÇť, sodass Dateien in gespiegelten Ordnern, die in mehr als einer Sitzung ge├Ąndert wurden, durch die letzte Aktualisierung ├╝berschrieben werden, wodurch Profil├Ąnderungen verloren gehen k├Ânnen.

Eine neue Option mit WEM 1808 ist das UPM Feature Large File Handling. Gro├če Dateien, die in einem Profil vorhanden sind, sind ein h├Ąufiger Grund f├╝r eine langsame An- oder Abmeldung. Citrix bietet eine Option zum Umleiten gro├čer Dateien (als symbolische Links) in den Benutzerspeicher. Diese Option macht die Synchronisierung dieser Dateien ├╝ber das Netzwerk ├╝berfl├╝ssig. Sie k├Ânnen Wildcards in Richtlinien verwenden, die sich auf Dateien beziehen.

Beispiel: !ctx_localappdata!\Microsoft\Outlook\*.ost

Stellen Sie sicher, dass diese Dateien nicht zur Ausschlussliste von Citrix Profile Management hinzugef├╝gt werden. Einige Anwendungen erlauben keinen gleichzeitigen Dateizugriff. Citrix empfiehlt, dass Sie das Anwendungsverhalten ber├╝cksichtigen, wenn Sie Ihre Richtlinie zur Behandlung gro├čer Dateien definieren.

Streamed User Profiles

Policies and Profiles Citrix Profile Management Settings Streamed User Profiles

Diese Optionen steuern das streamed user profile Feature.

Cross-Plattform Settings

Policies and Profiles Citrix Profile Management Settings Cross Plattform Settings

Hiermit konfigurieren Sie das Verhalten bez├╝glich Cross-Platform Profiles.

VMware Persona Settings

Policies and Profiles VMware Persona Settings

Diese Einstellungen steuern die Integration von VMware Persona in WEM. Bitte beachten Sie, dass einige Optionen nur mit bestimmten Versionen von View Persona funktionieren. In der entsprechenden VMware Dokumentation finden Sie detaillierte Anweisungen.

Security

Mit den Security Einstellungen steuern Sie z.B. welche Anwendungen Benutzer ausf├╝hren d├╝rfen. Diese Funktionalit├Ąt ├Ąhnelt Windows AppLocker. Wenn Sie mit Workspace Environment Management bestehende Windows AppLocker-Regeln verwalten, werden die Regeln in die Registerkarte Application Security importiert.

Application Security

Wenn Sie auf der Registerkarte Security das Element Application Security ausw├Ąhlen, stehen die folgenden Optionen zur Aktivierung oder Deaktivierung der Regel Verarbeitung zur Verf├╝gung:

Security Application Security
  • Process Application Security Rules
    • Wenn diese Option ausgew├Ąhlt ist, sind die Steuerelemente der Registerkarte Application Security aktiviert, und der Agent verarbeitet Regeln des aktuellen Configuration Sets und konvertiert sie in AppLocker-Regeln auf dem Host. Wenn diese Option nicht ausgew├Ąhlt ist, sind die Steuerelemente der Registerkarte Application Security deaktiviert und der Agent verarbeitet keine Regeln. (In diesem Fall werden AppLocker-Regeln nicht aktualisiert und die letzten Anweisungen, die vom Agenten verarbeitet wurden, sind noch aktiv.)
    • Diese Option sind nicht verf├╝gbar, wenn die WEM Administration Console unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 (oder fr├╝heren Versionen) installiert ist.
  • Process DLL Rules
    • Wenn diese Option ausgew├Ąhlt ist, verarbeitet der WEM Agent DLL-Regeln des aktuellen Configuration Sets und konvertiert diese in AppLocker-DLL-Regeln auf dem Host. Diese Option ist nur verf├╝gbar, wenn Process Application Security aktiviert ist.
    • Wenn Sie DLL-Regeln verwenden wollen, sollten Sie vorher DLL-Regeln, mit der Berechtigung Allow, f├╝r alle DLLs erstellen, die von erlaubten Applikationen verwendet werden.
    • Wenn Sie DLL-Regeln verwenden, kann die User Experience der Benutzer beeintr├Ąchtigt werden. Dies geschieht, weil AppLocker jede DLL ├╝berpr├╝ft, die eine App l├Ądt, bevor sie ausgef├╝hrt werden darf.

Rule Collections

Die WEM Application Security Regeln geh├Âren zur AppLocker Regelsammlung. Jeder Sammlungsname im Men├╝ gibt an, wie viele aktive Regeln er enth├Ąlt, z.B. Executable Rules (3). Klicken Sie auf einen Sammlungsnamen, um die Regelliste nach einer der folgenden Sammlungen zu filtern:

Security Application Security Rule Collections
  • Executable Rules. Regeln die einer Anwendung zugeordnet sindund die Erweiterungen .exe und .com enthalten.
  • Windows Rules. Regeln, die Installationsdateiformate (.msi, .msp, .mst) enthalten und die Installation von Dateien auf Clientcomputern und Servern steuern.
  • Script Rules. Regeln, die Dateien der folgenden Formate enthalten: .ps1, .bat, .cmd, .vbs, .js.
  • Packaged Rules. Regeln, die gepackte Apps, auch als Universal Windows-Apps bezeichnet, enthalten. In gepackten Apps haben alle Dateien innerhalb des App-Pakets dieselbe Identit├Ąt. Daher kann eine Regel die gesamte App steuern. Workspace Environment Management unterst├╝tzt nur Publisher-Regeln f├╝r gepackte Apps.
  • DLL Rules. Regeln, die Dateien der folgenden Formate enthalten: .dll, .ocx.
Security Application Security Rule Enforcement

Wenn Sie die Regelliste nach einer Sammlung filtern, steht die Option Rule enforcement zur Verf├╝gung, um zu steuern, wie AppLocker alle Regeln in dieser Sammlung auf dem Agent Host erzwingt. Die folgenden Werte f├╝r das durchsetzen von Regeln sind m├Âglich:

  • Off (default)
    • Regeln werden erstellt und deaktiviert, d.h. sie werden nicht angewendet.
  • On
    • Regeln werden erstellt und aktiviert, d.h. sie sind auf dem Agenten Host aktiv.
  • Audit
    • Die Regeln werden erstellt und auf Audit gesetzt, d.h. sie befinden sich in einem inaktiven Zustand auf dem Agenten Host. Windows protokolliert, wenn Dinge gestartet werden, die gegen diese Regeln versto├čen w├╝rden.

Am unteren Rand stehen noch verschiedene Actions zur Verf├╝gung. 

Security Application Security Add Default Rule
  • Edit
    • Sie k├Ânnen eine oder mehrere Regeln in der Liste ausw├Ąhlen. W├Ąhlen Sie im Editor die Zeilen mit den Benutzern und Benutzergruppen aus, denen Sie die Regel zuordnen m├Âchten. Sie k├Ânnen die ausgew├Ąhlten Regeln auch von allen Benutzern aufheben, indem Sie Select All ausw├Ąhlen, um alle Auswahlen zu l├Âschen.
    • Wenn Sie mehrere Regeln ausw├Ąhlen, werden alle Regel ├änderungen f├╝r diese Regeln auf alle von Ihnen ausgew├Ąhlte Benutzer und Benutzergruppen angewendet. Mit anderen Worten, vorhandene Regelzuweisungen werden in diesen Regeln zusammengef├╝hrt.
  • Add Default Rules
    • Der Liste werden eine Reihe von AppLocker Standardregeln hinzugef├╝gt.
  • Delete
    • W├Ąhlen Sie eine oder mehrere Regeln in der Liste aus und l├Âschen Sie sie.

Process Management

Security Process Management

Wenn Sie Process Management aktivieren, k├Ânnen Sie bestimmte Prozesse auf die White- oder Blacklist setzen. Sie k├Ânnen lokale Administratoren und/oder bestimmte Gruppen sowohl von der White- als auch von der Blacklist ausschlie├čen. Diese Option funktioniert nur, wenn der Sitzungsagent in der Benutzersitzung ausgef├╝hrt wird.

Security Process Management Process Blacklist
  • Process Blacklist
    • Sie k├Ânnen der Blacklist bestimmte Prozesse hinzuf├╝gen, die nicht ausgef├╝hrt werden sollen. Prozesse m├╝ssen ├╝ber den Namen der ausf├╝hrbaren Datei hinzugef├╝gt werden (z.B. cmd.exe).
Security Process Management Process Whitelist
  • Process Whitelist
    • Prozesse m├╝ssen ├╝ber den Namen der ausf├╝hrbaren Datei hinzugef├╝gt werden (z.B. cmd.exe). Wenn aktiviert, alle Prozesse die nicht in der Whitelist enthalten sind, werden automatisch gesperrt

Links zu den anderen Teilen

Ein Gedanke zu „WEM Administration Console – Teil 2 (System Optimization, Policies & Profiles und Security)“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht ver├Âffentlicht. Erforderliche Felder sind mit * markiert.

I consent to having this website store my submitted information so they can respond to my inquiry.