WEM Administration Console - Teil 2 (System Optimization, Policies & Profiles und Security)

Table of Contents

Aktuelle Version ist Workspace Environment Management 2206.

Folgend gebe ich einen Einblick in die Menüpunkte System Optimization, Policies & Profiles und Security.

System Optimization

Diese Einstellungen dienen dazu, die Ressourcen Nutzung auf dem Host zu verringern. Sie dienen dazu, dass Ressourcen freigegeben werden und für andere Anwendungen verfügbar sind, hierdurch kann die Benutzerdichte pro Host erhöht werden.

Während die System Optimization Einstellungen maschinenbasiert sind und für alle Benutzersitzungen einer Maschine gelten, ist z.B. die Prozessoptimierung unter CPU Management benutzerbasiert.

Das heißt, wenn ein Prozess die CPU Spike Protection in der Sitzung von Benutzer A auslöst, wird das Ereignis nur für Benutzer A aufgezeichnet und limitiert. Wenn Benutzer B denselben Prozess startet, wird das Verhalten der Prozessoptimierung nur durch Prozessauslöser in der Sitzung von Benutzer B bestimmt.

Alle Einstellungen unter System Optimization müssen auf der jeweiligen Registerkarte mit Apply bestätigt werden.

CPU Management

Prozesse können über alle vorhandenen Cores einer Maschine laufen und können so viel CPU beanspruchen, wie der einzelne Prozess möchte.

In Workspace Environment Management kann dies mithilfe der CPU Management Einstellungen limitiert werden.

! Wichtig !

Die CPU Zuordnung in den folgenden Einstellungen basiert auf den logischen Prozessoren in der physischen oder virtuellen Maschine. Jeder Kern einer CPU wird als logischer Prozessor betrachtet, so wie es auch Windows tut. Eine physische Maschine mit einer 12 Kern CPU wird beispielsweise als 24 logische Prozessoren betrachtet (wegen Hyper Threading). Ein physischer Rechner mit 4 x CPUs mit jeweils 12 Kernen hat 48 logische Prozessoren. Eine mit zwei 8 Kern CPUs konfigurierte VM hat 16 logische Prozessoren.

Die Gesamtzahl der logischen Prozessoren richtet sich nach der Anzahl der CPUs, der Anzahl der Kerne in der CPU und danach, ob Hyper Threading aktiviert ist. Die einfachste Methode zur Ermittlung der Gesamtzahl der logischen Kerne in einem Rechner ist die Verwendung des Windows Task-Managers (z.B. 2 logische Prozessoren im Bild):

CPU Management Settings

Wenn CPU Spike Protection aktiviert ist und ein Prozess einen bestimmten Schwellenwert (Überschreitung der durchschnittlichen Last über eine bestimmte Zeit) erreicht, senkt WEM automatisch die Priorität des Prozesses für eine bestimmte Zeit. Wenn dann eine neue Anwendung gestartet wird, hat sie eine höhere Priorität als der Prozess mit niedrigerer Priorität, und das System läuft weiterhin reibungslos.

! Wichtig !

Der Prozess wird nicht wie beim CPU-Clamping hart limitiert, sondern nur seine Priorität wird reduziert.

Enable CPU Spike Protection
- Senkt die CPU Priorität von Prozessen für eine bestimmte Zeit (Idle Priority Time), wenn sie den angegebenen Prozentsatz der CPU Auslastung (CPU Usage Limit) für eine bestimmte Zeit (Limit Sample Time) überschreitet
- Wenn mehrere einzelne Prozesse zusammen den angegebenen Schwellenwert überschreiten, wird die CPU Spike Protection nicht aktiviert, sie wird nur aktiviert wen eine einzelne Prozessinstanz eines Benutzers den Schwellenwert überschreitet
- Die CPU Spike Protection ist nicht dafür ausgelegt, die allgemeine CPU Auslastung zu reduzieren, sondern soll die Auswirkungen auf die Benutzererfahrung durch Prozesse reduzieren, die einen übermäßigen Prozentsatz der CPU Auslastung beanspruchen
- Auto Prevent CPU Spikes
  - Diese Option reduziert automatisch die CPU Priorität von Prozessen, die die CPUs überlasten
  - Es wird automatisch der Schwellenwert berechnet, bei dem die CPU Spike Protection ausgelöst wird, basierend auf der Anzahl der logischen Prozessoren
  - Beispiel:
    Das System hat 4 CPU Kerne
    Wenn die Gesamt CPU Auslastung 23 % übersteigt, wird die CPU Priorität von Prozessen, die mehr als 15 % der gesamten CPU Ressourcen verbrauchen, automatisch reduziert
    
    Das System hat 8 CPU Kerne
    Wenn die Gesamt CPU Auslastung 11 % übersteigt, wird die CPU-Priorität von Prozessen, die mehr als 8 % der CPU Ressourcen verbrauchen, automatisch reduziert
- Customize CPU Spike Protection
  - Ermöglicht die Anpassung der Einstellungen für die CPU Spike Protection
  - CPU Usage Limit (%)
    - Der Prozentsatz der CPU Auslastung, den eine Prozessinstanz erreichen muss, um die CPU Spike Protection auszulösen
    - Dieser Grenzwert gilt global für alle logischen Prozessoren des Servers und wird prozessbezogen geprüft
    - Bei mehreren Instanzen desselben Prozesses wird der prozentuale Anteil ihrer CPU Nutzung bei der Bestimmung der Auslöser für den CPU Spike Protection nicht addiert
    - Grundregel für die Berechnung des Wertes lautet, nehme 100%, dividiere es durch die Anzahl der CPUs und ziehe 1 ab. Dadurch wird verhindert, dass ein einzelner Prozess eine CPU komplett auslastet
    - Beispiel:
      CPU Usage Limit = ( 100% / <NumCPUs> ) – 1
      
      Für einen 4 Core Worker:
      ( 100% / 4 ) – 1 = 24%
      
      Für einen 2 Core Worker:
      ( 100% / 2 ) – 1 = 49%
  - Limit Sample Time (s)
    - Legt fest, wie lange ein Prozess in Sekunden die CPU Usage Limit überschreiten kann, bevor die Priorität herabgesetzt wird
  - Idle Priority Time (s)
    - Definiert die Zeit in Sekunden, für die eine Prozess Priorität herabgesetzt wird, bevor sie zu ihrer vorherigen Priorität zurückkehrt
    - Die Priorität auf die der Prozess zurückkehrt hängt von den weiteren Optionen ab (Enable Intelligent CPU Optimization oder CPU Priority)
Enable CPU Core Usage Limit
- Aktiviert wird der Prozess durch die CPU Spike Protection nicht nur von der Priorität abgesenkt, sondern dieser darf auch nur noch die bestimmte Anzahl von logischen Prozessoren auf dem Rechner für die Zeit (Idle Priority Time) der Protection nutzen
- Limit CPU Core Usage
  - Definiert die Anzahl der logischen Prozessoren an, auf die Prozesse, die den CPU Spike Protection auslösen, beschränkt sind
  - Wenn ein Wert eingegeben wird, der größer als die Anzahl der CPU Cores ist, werden alle vorhanden Cores genutzt
  - In virtuellen Umgebungen kann hier nur auf die Cores beschränkt werden, die der jeweiligen VM auch zugeordnet sind, nicht auf die des darunterliegenden Hypervisor
Enable Intelligent CPU Optimization
- Es werden alle Prozesse, die der Benutzer in seiner Sitzung startet, mit einer CPU Priorität High gestartet (außer der Prozess ist schon für diesen Benutzer auffällig gewesen)
- Wenn diese Funktion aktiviert ist, optimiert der Agent auf intelligente Weise die CPU Priorität von Prozessen, die die CPU Spike Protection auslösen
- Prozessen, die wiederholt die CPU Spike Protection auslösen, wird beim nächsten Start eine niedrigere CPU Priorität zugewiesen als Prozessen, die sich korrekt verhalten
- Immer wenn ein Prozess die CPU Spike Protection auslöst, wird das Ereignis in der lokalen Datenbank des Agenten aufgezeichnet (Für jeden Benutzer separat)
- Beispiel:
  Startet User 1 zum ersten mal den Internet Explorer, wird WEM dem Prozess iexplore von User 1 initial die Priorität High zuweisen.
  Wenn Internet Explorer wiederholt die CPU Spike Protection auslöst, führt WEM den Prozess beim nächsten Start des Users mit der nächst niedrigeren CPU Priorität aus, z.B. Above Normal.
  Wenn der Prozess weiterhin die CPU Spike Protection auslöst, wird er mit der nächst niedrigeren Priorität gestartet, bis er schließlich mit der niedrigsten Priorität startet.

Enable Intelligent IO Optimization
- Dies funktioniert genauso wie die CPU Optimization, jedoch für I/O (Verringern der Priorität nach Auslösung der CPU Spike Protection)

Exclude specified processes
- Ermöglicht das Ausschließen bestimmter Prozesse von der CPU Spike Protection
- Die CPU Verwaltung schließt standardmäßig die meisten gängigen Citrix- und Windows Core Prozesse aus
- Der Prozess Name wird eingetragen, wie er im Task Manager zu finden ist, jedoch ohne die Erweiterung (explorer anstelle von explorer.exe)
- Wenn ein Prozess durch CPU Spike Protection reguliert wird, generiert WEM unter Application and Service Logs / Norskale Agent Service einen Eintrag, der den betroffenen Prozess angibt
- WEM exkludiert automatisch die folgenden Systemprozesse und führt keine CPU Optimierung durch:

Prozess Name
audiodg
csrss
LSASS
mscorsvw
MsMpEng
NisSrv
services
Svchost
System
System Idle Process
Taskmgr
vmwareresolutionset
Wininit

CPU Priority

Auf der Registerkarte CPU Priority können Prozesse angegeben und diesen eine Basis Priorität zugewiesen werden. Dies erlaubt dem Prozess mehr oder weniger CPU Zeit zu verbrauchen. Einen Prozess die Priorität Realtime zuzuweisen wird nicht empfohlen.

Wenn Sie einem Prozess, z.B. explorer.exe, die Priorität Normal zuweisen, beginnt der Prozess mit dieser Prioritätsstufe und fällt nie auf eine niedrigere Priorität zurück, jedoch kann er mit einer höheren Priorität ausgeführt werden.

! Wichtig !

Diese definierte Basis Priorität kann auch nicht über die CPU Spike Protection verringert werden!

Enable Process Priority
- Erst wenn dies ausgewählt ist, können manuell CPU Prioritäten für Prozesse festgelegt werden

Im Fenster Add Process CPU Priority, erreichbar über Add, kann der Prozess Name und die Basis Priorität definiert werden.

Über Edit können bestehende Prozesse editiert und über Remove gelöscht werden.

Process Name
- Definiert den Prozess dessen Basis Priorität definiert werden soll
CPU Priority
- Definiert die Basis Priorität für den Prozess

! Wichtig !

Realtime sollte nicht definiert werden. Dies kann zu Beeinträchtigungen im System führen.

CPU Affinity

Auf der Registerkarte CPU Affinity können für Prozesse die Maximal nutzbaren CPU Cores für einen Prozess definiert werden.

Damit kann sichergestellt werden, das ein bestimmter Prozess, dauerhaft nicht alle logischen Prozessoren blockiert, sondern nur die hier definierte Anzahl (im Bild kann der Internet Explorer nur maximal 2 CPU Cores nutzen).

Enable Process Affinity
- Erst wenn dies ausgewählt ist, können CPU Core Anzahlen für Prozesse hinterlegt werden

Im Fenster New Process Affinity, erreichbar über Add, kann der Prozess Name und die Anzahl an logischen Prozessoren definiert werden.

Über Edit können bestehende Prozesse editiert und über Remove gelöscht werden.

Process Name
- Definiert den Prozess der limitiert werden soll
Desired Affinity
- Definiert die Anzahl der maximal nutzbaren Cores für diesen Prozess

CPU Clamping

CPU Clamping hindert Prozesse daran, mehr als einen vorher konfigurierbaren Prozentsatz Leistung der gesamten CPU zu verbrauchen. WEM drosselt den Prozess ab, wenn die angegebene CPU % erreicht ist. Auf diese Weise kann hart verhindert werden, dass einzelne Prozesse große Mengen an CPU verbrauchen und so den Host lahm legen.

Um die CPU Auslastung eines problematischen Prozesses niedrig zu halten, ist es dennoch empfehlenswert, die CPU Spike Protection, CPU Priority oder CPU Affinity zu verwenden.

CPU Clamping sollte nur im äußersten Notfall verwendet werden, z.B. für die Steuerung von Prozessen, die sich bekanntermaßen schlecht durch das Ressourcen Management Regeln lassen.

Der vorher konfigurierte Prozentsatz des Clamping bezieht sich auf die Gesamtleistung aller CPUs im Server, nicht auf einen einzelnen darin enthaltenen Core. (Mit anderen Worten: 10% einer Quad Core CPU machen 10% der gesamten CPU aus, nicht 10% eines Cores).

Enable Process Clamping
- Erst wenn dies ausgewählt ist, können Drosselungen für Prozesse hinterlegt werden

Im Fenster New Clamped Process, erreichbar über Add, kann der Prozess Name und der CPU Grenzwert in Prozent definiert werden.

Über Edit können bestehende Prozesse editiert und über Remove gelöscht werden.

Process Name to Clamp
- Definiert den Prozess der limitiert werden soll
Clamping Percentage
- Definiert die Limitierung in Prozent (Gesamt über alle Cores) die der Prozess maximal nutzen kann

Memory Management

Wenn diese Einstellungen aktiviert sind, berechnet WEM, wie viel Arbeitsspeicher ein Prozess verbraucht und wie viel Arbeitsspeicher ein Prozess mindestens benötigt, ohne an Stabilität zu verlieren. WEM betrachtet die Differenz als überschüssigen Speicher. Wenn der Prozess inaktiv wird, gibt WEM den überschüssigen Speicher, den der Prozess verbraucht, in das Page File frei und optimiert den Prozess für nachfolgende Starts. Normalerweise wird eine Anwendung inaktiv, wenn sie in die Taskleiste minimiert wird.

Wenn Anwendungen aus der Taskleiste wiederhergestellt werden, laufen sie zunächst in ihrem optimierten Zustand, können aber bei Bedarf weiterhin zusätzlichen Speicher verbrauchen.

Ein Beispiel für diese Memory Optimierung ist, wenn ein Benutzer Microsoft Edge öffnet und mehrere Websites durchsucht. Während dieser Zeit berechnet Memory Management die Menge des verwendeten RAM plus die geringste erforderliche Menge an RAM für die Edge Prozesse. Wenn der Benutzer Microsoft Edge in die Taskleiste minimiert und die prozentuale CPU der Edge Prozesse auf den für Idle State Limit festgelegten Wert absinkt, zwingt WEM den Prozess dazu, den zuvor berechneten überschüssigen Arbeitsspeicher freizugeben. Der RAM wird freigegeben, indem er in die Page File geschrieben wird.

In ähnlicher Weise optimiert WEM alle Anwendungen, die Benutzer während ihrer Desktop Sitzungen verwenden. Wenn es mehrere Prozesse über mehrere Benutzersitzungen hinweg gibt, steht der gesamte freigewordene Speicher für andere Prozesse zur Verfügung. Dieses Verhalten erhöht die Benutzerdichte, da eine größere Anzahl von Benutzern auf demselben Server unterstützt wird.

Memory Management

Optimize Memory Usage for Idle Processes
- Zwingt Prozesse, die für eine bestimmte Zeit im Leerlauf bleiben, überschüssigen Speicher freizugeben, bis sie nicht mehr im Leerlauf sind
- Idle Sample Time (min)
  - Definition der Zeitspanne, nach der ein Prozess als inaktiv gilt und gezwungen ist, überschüssigen Speicher freizugeben
  - Während dieser Zeit berechnet WEM, wie viel Speicher ein Prozess verbraucht und wie viel Speicher ein Prozess mindestens benötigt, ohne seine Stabilität zu verlieren
  - Der Standardwert ist 120 Minuten (Empfehlung ist hier ein Wert zwischen 30-60)
- Idle State Limit (percent)
  - Definiert den Prozentsatz der CPU Auslastung anzugeben, unterhalb dessen ein Prozess als inaktiv gilt
  - Der Standardwert ist 1% (Empfehlung ist 3%)
  - Empfehlung ist, keinen höheren Wert als 5 % zu verwenden, da andernfalls aktiv genutzte Prozesse fälschlicherweise als untätig angesehen werden und der Speicher freigegeben wird
- Do Not Optimize When Total Available Memory Exceeds (MB)
  - Ermöglicht die Festlegung eines Schwellenwerts, unterhalb dessen WEM erst die Memory Optimierung startet
Exclude Processes from Memory Usage Optimization
- Ermöglicht das Ausschließen bestimmter Prozesse von der Memory Optimierung
- Der Prozess Name wird eingetragen, wie er im Task Manager zu finden ist, jedoch ohne die Erweiterung (explorer anstelle von explorer.exe)
- WEM exkludiert automatisch die folgenden Systemprozesse und führt keine Memory Optimierung durch:

Prozess Name
audiodg
csrss
dllhost
LSASS
Memory Compression
mscorsvw
msdtc
msiexec
MsMpEng
NisSrv
rdpclip
rdpshell
services
smss
spoolsv
Svchost
System
System Idle Process
taskmgr
wfshell
winlogon
wininit
wmiprvse

Memory Usage Limit

Mit Memory Usage Limit können einzelne Prozesse bezüglich ihres Memory Verbrauchs Limitiert werden. Ähnlich dem Verfahren des CPU Clamping, das oben beschrieben wurde.

! Wichtig !

Die Anwendung von Memory Usage Limit auf bestimmte Prozesse kann unbeabsichtigte Auswirkungen haben, wie z. B. eine langsamere Reaktionszeit des Systems.

Enable Memory Usage Limit for Specific Processes
- Erst wenn dies ausgewählt ist, können Limitierungen für Prozesse hinterlegt werden

Im Fenster Add Process, erreichbar über Add, kann ein Prozess definiert werden.

Über Edit können bestehende Prozesse editiert und über Remove gelöscht werden. Wenn man einen bestehenden Prozess auswählt kann man über die Knöpfe Dynamic Limit und Static Limit diese Option für den ausgewählten Prozess ändern.

Process Name
- Definiert den zu limitierenden Prozess
Memory Usage Limit (MB)
- Definition des Limits in MB für den Prozess
Dynamic Limit
- Diese Einstellung begrenzt dynamisch die Menge des zugewiesenen Speichers für den spezifizierten Prozess
- Es erzwingt die Grenze für die Speichernutzung in Abhängigkeit vom verfügbaren Speicher des Systems
- Daher kann der Speicher, den der angegebene Prozess verbraucht, die angegebene Menge überschreiten
Static Limit
- Diese Einstellung begrenzt statisch die Menge des zugewiesenen Speichers (Hartes Limit)
- Der Prozess wird daran gehindert, mehr als die angegebene Menge an Speicher zu verbrauchen, unabhängig von der Menge des verfügbaren Speichers des Systems
- Der Speicher, den der angegebene Prozess verbraucht, wird immer auf die angegebene Menge begrenzt

I/O Management

Mit I/O Priority kann die Basis Priorität bestimmter Prozesse definiert werden, so dass Prozesse, die um den Zugriff auf Festplatten- und Netzwerk-I/O konkurrieren, keine Leistungsengpässe verursachen. So kann beispielsweise die I/O Management Einstellung verwendet werden, um eine Anwendung zu drosseln, die viel Festplattenbandbreite benötigt.

Die tatsächliche oder aktuelle Priorität eines Threads kann höher sein (ist aber nie niedriger als die Basis Priorität). Im Allgemeinen gewährt Windows den Threads mit höherer Priorität vor den Threads mit niedrigerer Priorität Zugriff.

Enable Process I/O Priority
- Erst wenn dies ausgewählt ist, können Prioritäten für Prozesse hinterlegt werden

Im Fenster Add Process I/O Priority, erreichbar über Add, kann ein Prozess definiert werden.

Über Edit können bestehende Prozesse editiert und über Remove gelöscht werden.

Process Name
- Definiert den Prozess
I/O Priority
- Definiert die Basis Priorität für den Prozess

Fast Logoff

Mit Fast Logoff wird die HDX Verbindung zu einer Remote Session sofort beendet, so dass die Benutzer den Eindruck haben, die Sitzung sei schneller abgemeldet worden. Die Sitzung selbst wird jedoch durch die Phasen der Sitzungsabmeldung im Hintergrund auf dem VDA fortgesetzt.

Enable Fast Logoff
- Aktiviert Fast Logoff für alle Benutzer in diesem Configuration Set
Exclude Specific Groups
- Ermöglicht es bestimmte Benutzergruppen von Fast Logoff auszuschließen
- Dies wird benötigt, wenn bestimmte Programme den abrupten Disconnect nicht unterstützen

Citrix Optimizer

Der Citrix Optimizer optimiert Benutzerumgebungen für eine bessere Leistung. Er führt einen schnellen Scan der Benutzerumgebungen durch und wendet dann vorlagenbasierte Optimierungsempfehlungen an.

Bei Non-Persistent Workern würde ich normalerweise empfehlen diesen Part über BIS-F abzufangen, da hiermit das Golden Master schon optimiert wird. Dies bedeutet das alle daraus entstehenden Workern direkt optimiert sind.

Enable Citrix Optimizer
- Steuert ob der Citrix Optimizer aktiviert ist
Run Weekly
- Falls ausgewählt, führt WEM wöchentlich Optimierungen durch
- Wenn nicht ausgewählt ist, verhält sich WEM wie folgt:
  - Wenn ein Template zum ersten Mal zu WEM hinzugefügt wird, führt WEM die entsprechende Optimierung aus
  - WEM führt die Optimierung nur einmal aus, es sei denn, es werden später Änderungen an dem Template vorgenommen, dann wird dieses nochmals angewendet
Automatically Select Templates to Use
- Wenn dies ausgewählt wird, wählt WEM aus, welches Template (Anhand des Betriebssystems) genutzt wird
- Enable Automatic Selection of Templates Starting with Prefixes
  - Mit dieser Option können benutzerdefinierte Templates mit unterschiedlichen Namensformaten definiert werden
  - Mehrere Präfixe können kommagetrennt hinterlegt werden
  - Die benutzerdefinierten Templates folgen diesen Namensformaten:
    prefix_<os version>_<os build>
    prefix_Server_<os version>_<os build>

Im Fenster New Custom Template, erreichbar über Add, kann ein benutzerdefiniertes Template erstellt werden.

Per Preview kann man sich das ausgewählte Template genauer anschauen.

Über Edit können bestehende Templates editiert und über Remove benutzerdefinierte Templates gelöscht werden.

Template Name
- Der Anzeigename des Templates
- Browse
  - Öffnen eines bestehenden Templates zur Anpassung
  - Bestehende Templates können an folgenden Standorten gefunden werden:
    - Laden den Citrix Optimizer herunter und kopiert die dort die bestehenden Templates, um diese in WEM hochzuladen
    - Kopiert von einem Worker auf dem der WEM Agent installiert ist (C:\Program Files (x86)\Citrix\Workspace Environment Management Agent\Citrix Optimizer\Templates) die benötigten Standard Templates
Applicable OSs
- Eine Liste von Betriebssystemen für die dieses Template gelten soll
- Benutzerdefinierte Vorlagen für weitere Windows 10 Betriebssysteme, die nicht in der Liste enthalten sind, können über das Feld eingetragen werden
  - Hierfür müssen dort die Build Nummer semikolongetrennt hinterlegt werden (z.B. 2001;2004)
Groups
- Der Bereich Available zeigt eine Liste der gruppierten Optimierungseinträge an
- Doppelklick auf eine Gruppe oder klick auf die Pfeilschaltflächen verschiebt diese Gruppe in Configured und damit würde diese Gruppe angewendet in diesem Template
State
- Status des Objekts (Aktiviert / Deaktiviert)
- Wenn Deaktiviert wird das Template nicht vom Agent verarbeitet und WEM führt keine mit der Vorlage verbundenen Optimierungen durch

Multi-session Optimization

Multi-Session Betriebssysteme führen mehrere Sitzungen von einem einzigen Rechner aus, um den Benutzern Anwendungen und Desktops bereitzustellen. Eine unterbrochene Sitzung bleibt aktiv und ihre Anwendungen werden weiterhin ausgeführt.

Die getrennte Sitzung kann Ressourcen verbrauchen, die für verbundene Desktops und Anwendungen benötigt werden, die auf demselben Computer ausgeführt werden. Mit diesen Einstellungen können Betriebssysteme mit mehreren Sitzungen und getrennten Sitzungen optimiert werden, um die Benutzererfahrung mit verbundenen Sitzungen zu verbessern.

Enable Multi-session Optimization
- Diese Option verbessert die User Experience von verbundenen Sitzungen, indem die Anzahl der Ressourcen begrenzt wird, die von getrennten Sitzungen verbraucht werden können
- Nachdem eine Sitzung eine Minute lang nicht verbunden war, senkt der WEM Agent die CPU- und I/O-Prioritäten der mit der Sitzung verbundenen Prozesse und Anwendungen
- Der Agent setzt dann Grenzen für die Speicherressourcen, die die Sitzung verbrauchen kann
- Wenn der Benutzer die Verbindung zur Sitzung wieder aufnimmt, stellt WEM die Prioritäten wieder her und hebt die Beschränkungen auf
Exclude Specified Groups
- Hier können Gruppen definiert werden die von der Multi-session Optimization ausgeschlossen werden sollen
- Wenn aktiviert muss mindestens eine Gruppe hinterlegt werden
Exclude Specified Processes
- Hier können Prozesse von der Multi-session Optimization ausgeschlossen werden
- Dies kann von Nöten sein, wenn Prozesse nach der Wiederaufnahme der Session nicht weiter normal funktionieren wollen
- Wenn aktiviert muss mindestens ein Name eines Prozesses hinterlegt werden

Policies and Profiles

Mit den folgenden Einstellungen können Benutzerumgebungen angepasst und die Benutzerprofile konfiguriert werden. Dies ersetzt verschiedene normalerweise bestehende Standard GPO Einstellungen und beschleunigt daher die Anmeldung.

Alle Einstellungen müssen auf der jeweiligen Registerkarte mit Apply bestätigt werden.

Environmental Settings

Diese Optionen ändern die Environmental Settings des Benutzers. Einige der Optionen werden erst bei der Anmeldung verarbeitet, während andere auch in der Sitzung, mit dem Agent Refresh, aktualisiert werden können.

Start Menu

Diese Optionen ändern das Startmenü und das Erscheinungsbild der Taskleiste, sowie den Desktophintergund des Benutzers.

Process Environmental Settings
- Aktiviert die Verarbeitung der Environmental Settings
Exclude Administrators
- Wenn aktiviert, werden Environmental Settings für Administratoren nicht verarbeitet, selbst wenn der Agent gestartet wird
Hide Common Programs
- Hält das Startmenü frei von Standard Icons aus dem All Users Profil
Remove Run from Start Menu
- Entfernt den Menüpunkt Run aus dem Startmenü
Hide Administrative Tools
- Entfernt die Administrative Tools aus dem Startmenü
Hide Help
- Entfernt die Hilfe aus dem Startmenü
Hide Find
- Entfernt die Suche aus dem Startmenü
Hide Windows Update
- Entfernt den Menüpunkt Windows Update aus dem Startmenü
Lock Taskbar
- Sperrt die Taskbar für alle Benutzer
Hide System Clock
- Blendet die Uhr aus der Taskleiste aus
Hide Devices and Printers
- Entfernt den Menüpunkt Devices and Printers aus dem Startmenü
Hide Turn Off Computer
- Entfernt Computer ausschalten aus dem Startmenü
Force Logoff Button
- Legt im Menü Ein / Aus die Option Abmelden als Standardaktion fest
Turn Off Notification Area Cleanup
- Der Taskleisten Benachrichtigungsbereich wird keine Benachrichtigungen ausblenden und alle anzeigen
Turn Off Personalized Menus
- Blendet die Personalized Menus aus, die oben an das Start Menü angeheftet werden und die zuletzt verwendeten Elemente enthält
Clear Recent Programs List
- Löscht den Verlauf der zuletzt geöffneten Dokumente beim Abmelden

! Wichtig !

Auf anderen Betriebssystemen als Windows 7, funktionieren die Optionen unter User Interface: Start Menu möglicherweise nicht, außer Hide System Clock und Hide Turn Off Computer.

Set Specific Theme File
- Definiert das zu benutzende Theme File
- Pfad zur Ressource muss aus der Sicht des Benutzers eingegeben werden
- Funktioniert nur bei frischen Profilen, bei bereits eingerichteten Profilen bewirkt dies nichts
Set Background Color
- Definiert die Hintergrund Farbe
- Funktioniert nur bei frischen Profilen, bei bereits eingerichteten Profilen bewirkt dies nichts
Set Specific Visual Style
- Definiert das zu benutzende Visual Style File
- Pfad zur Ressource muss aus der Sicht des Benutzers eingegeben werden
- Funktioniert nur bei frischen Profilen, bei bereits eingerichteten Profilen bewirkt dies nichts
Set Wallpaper
- Definiert das zu benutzende Hintergrund Bild
- Pfad zur Ressource muss aus der Sicht des Benutzers eingegeben werden
- Funktioniert nur bei frischen Profilen, bei bereits eingerichteten Profilen bewirkt dies nichts

Desktop

Mit Desktop kann gesteuert werden, welche Desktop Objekte und Eigenschaften durch den WEM Agent verändert werden sollen.

Hide My Computer Icon
- Blendet das My Computer Icon vom Desktop aus
Hide My Recycle Bin Icon
- Versteckt den Papierkorb auf dem Desktop
Hide My Documents Icon
- Das My Documents Icon wird ausgeblendet
Go to Desktop instead of Start
- Der Desktop wird bei Session Start angezeigt und nicht das Startmenü

Disable System Properties
- Die System Einstellungen sind nicht mehr über My Computer erreichbar
Disable Recycle Bin Properties
- Die Papierkorb Einstellungen sind nicht mehr erreichbar
Disable My Documents Properties
- Die My Documents Einstellungen sind ausgeblendet
Hide Network Icon
- Das My Network Places Icon wird ausgeblendet
Hide Network Connections
- Die Network Connections werden nicht angezeigt
Disable Task Manager
- Der Task Manager wird für die Benutzer Session nicht aufrufbar

Über User Interface: Edge UI können Aspekte der Windows 8.x Edge-Benutzeroberfläche deaktiviert werden. Da dies nicht mehr besonders aktuell ist, werde ich hier nicht weiter ins Detail gehen.

Windows Explorer

Mit Windows Explorer werden verschiedene Aspekte des Explorers gesteuert und somit z.B. verhindert das ein Zugriff auf Regedit und Cmd erfolgen kann.

! Wichtig !

Vorsichtig mit den Optionen Disable Silent Regedit und Disable Cmd Scripts. Dadurch wird nämlich auch verhindert, dass Anmeldeskripts und Registry-Hacks außerhalb von WEM ausgeführt werden können.

Prevent Access to Registry Editing Tools
- Regedit ist für den Benutzer nicht aufrufbar
- Disable Silent Regedit
  - Regedit ist auch für das System nicht mehr aufrufbar
Prevent Access to Command Prompt
- CMD ist für den Benutzer nicht aufrufbar
- Disable Cmd Scripts
  - CMD ist auch für das System nicht mehr aufrufbar
Remove Context Menu Manage Item
- Entfernt den Kontextmenüpunkt Manage aus This PC
Remove Network Context Menu Items
- Blendet die Kontextmenüpunkte bei Network aus
Hide Libraries in Explorer
- Der Punkt Libaries wird aus dem Explorer entfernt
Hide Network Icon in Explorer
- Das Network Icon wird komplett ausgeblendet im Explorer
Hide Programs Control Panel
- Blendet Programs aus dem Control Panel aus
Disable Windows Security
- Windows Security ist für den Benutzer nicht erreichbar
Disable Explorer Context Menu
- Kontextmenü des Explorers ist nicht vorhanden
Disable Taskbar Context Menu
- Das Taskbar Kontextmenü ist ausgeblendet
Hide Specified Drives
- Die aufgelisteten Laufwerke werden im Arbeitsplatz des Benutzers ausgeblendet
- Sie sind weiterhin zugänglich, wenn direkt zu ihnen navigiert wird
Restrict Specified Drives
- Die aufgeführten Laufwerke sind ausgeblendet und gesperrt
- Weder der Benutzer noch seine Anwendungen können auf das Laufwerk zugreifen

Control Panel

Mit Control Panel wird die Systemsteuerung für die Benutzer angepasst und limitiert. Hier können einzelne Applets aus- oder eingeblendet werden.

Hide Control Panel
- Blendet die komplette Systemsteuerung aus
Show only specified Control Panel Applets
- Es werden alle Control Panel Applets außer den hier aufgeführten vor dem Benutzer verborgen
- Die Applets müssen mit ihrem kanonischen Namen hinzugefügt werden
Hide specified Control Panel Applets
- Es werden nur die aufgeführten Control Panel Applets ausgeblendet
- Zusätzliche Applets können mit Verwendung ihres kanonischen Namens hinzugefügt werden

Mit Show / Hide only specified Control Panel Applets definieren Sie die Control Panel Elemente, die für den Benutzer ausgeblendet/eingeblendet werden.

Liste von häufig verwendeten kanonischen Namen:

Applet Name	Canonical Name
Action Center	Microsoft.ActionCenter
Administrative Tools	Microsoft.AdministrativeTools
AutoPlay	Microsoft.AutoPlay
Biometric Devices	Microsoft.BiometricDevices
BitLocker Drive Encryption	Microsoft.BitLockerDriveEncryption
Color Management	Microsoft.ColorManagement
Credential Manager	Microsoft.CredentialManager
Date and Time	Microsoft.DateAndTime
Default Programs	Microsoft.DefaultPrograms
Device Manager	Microsoft.DeviceManager
Devices and Printers	Microsoft.DevicesAndPrinters
Display	Microsoft.Display
Ease of Access Center	Microsoft.EaseOfAccessCenter
Family Safety	Microsoft.ParentalControls
File History	Microsoft.FileHistory
Folder Options	Microsoft.FolderOptions
Fonts	Microsoft.Fonts
HomeGroup	Microsoft.HomeGroup
Indexing Options	Microsoft.IndexingOptions
Infrared	Microsoft.Infrared
Internet Options	Microsoft.InternetOptions
iSCSI Initiator	Microsoft.iSCSIInitiator
iSNS Server	Microsoft.iSNSServer
Keyboard	Microsoft.Keyboard
Language	Microsoft.Language
Location Settings	Microsoft.LocationSettings
Mail	Mail (Microsoft Outlook 2016) (Bei M365 Apps)
Mouse	Microsoft.Mouse
MPIOConfiguration	Microsoft.MPIOConfiguration
Network and Sharing Center	Microsoft.NetworkAndSharingCenter
Notification Area Icons	Microsoft.NotificationAreaIcons
Pen and Touch	Microsoft.PenAndTouch
Personalization	Microsoft.Personalization
Phone and Modem	Microsoft.PhoneAndModem
Power Options	Microsoft.PowerOptions
Programs and Features	Microsoft.ProgramsAndFeatures
Recovery	Microsoft.Recovery
Region	Microsoft.RegionAndLanguage
RemoteApp and Desktop Connections	Microsoft.RemoteAppAndDesktopConnections
Sound	Microsoft.Sound
Speech Recognition	Microsoft.SpeechRecognition
Storage Spaces	Microsoft.StorageSpaces
Sync Center	Microsoft.SyncCenter
System	Microsoft.System
Tablet PC Settings	Microsoft.TabletPCSettings
Taskbar and Navigation	Microsoft.Taskbar
Troubleshooting	Microsoft.Troubleshooting
TSAppInstall	Microsoft.TSAppInstall
User Accounts	Microsoft.UserAccounts
Windows Anytime Upgrade	Microsoft.WindowsAnytimeUpgrade
Windows Defender	Microsoft.WindowsDefender
Windows Firewall	Microsoft.WindowsFirewall
Windows Mobility Center	Microsoft.MobilityCenter
Windows To Go	Microsoft.PortableWorkspaceCreator
Windows Update	Microsoft.WindowsUpdate
Work Folders	Microsoft.WorkFolders

! Wichtig !

Bei dem Systemsteuerungselement Mail ist zu beachten, das es auf das Betriebssystem und die Outlook Version ankommt. Hier einfach auf dem Ziel System im Voraus prüfen, wie es dort hinterlegt ist.

Known Folders Management

Mit Known Folders Management kann verhindert werden, das die angegebenen Ordner bei der Erstellung des Benutzerprofils auch erstellt werden.

! Wichtig !

Dies funktioniert nicht mit vorhandenen Profilen!

Disable Specified Known Folders
- Die aufgelisteten Ordner werden nicht erzeugt

Liste von Known Folders:

Known Folder Name	Path
3D Objects	%USERPROFILE%\3D Objects
Account Pictures	%APPDATA%\Microsoft\Windows\AccountPictures
Administrative Tools	%APPDATA%\Microsoft\Windows\Start Menu\Programs\Administrative Tools %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Administrative Tools
Camera Roll	%USERPROFILE%\OneDrive\Pictures\Camera Roll %USERPROFILE%\Pictures\Camera Roll
Contacts	%USERPROFILE%\Contacts
Desktop	%USERPROFILE%\Desktop
Documents	%USERPROFILE%\OneDrive\Documents %USERPROFILE%\Documents
Downloads	%HOMEDRIVE%%HOMEPATH%\Downloads %USERPROFILE%\Downloads
Favorites	%USERPROFILE%\Favorites
Gadgets	%LOCALAPPDATA%\Microsoft\Windows Sidebar\Gadgets
GameExplorer	%LOCALAPPDATA%\Microsoft\Windows\GameExplorer
History	%LOCALAPPDATA%\Microsoft\Windows\History
ImplicitAppShortcuts	%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts
Libraries	%APPDATA%\Microsoft\Windows\Libraries
Links	%USERPROFILE%\Links
Local	%USERPROFILE%\AppData\Local
LocalLow	%USERPROFILE%\AppData\LocalLow
Music	%USERPROFILE%\Music
Network Shortcuts	%APPDATA%\Microsoft\Windows\Network Shortcuts
OneDrive	%USERPROFILE%\OneDrive
Pictures	%USERPROFILE%\OneDrive\Pictures %USERPROFILE%\Pictures
Printer Shortcuts	%APPDATA%\Microsoft\Windows\Printer Shortcuts
Programs	%LOCALAPPDATA%\Programs
Quick Launch	%APPDATA%\Microsoft\Internet Explorer\Quick Launch
Recent Items	%APPDATA%\Microsoft\Windows\Recent
Ringtones	%LOCALAPPDATA%\Microsoft\Windows\Ringtones
Roaming	%APPDATA% %USERPROFILE%\AppData\Roaming
RoamingTiles	%LOCALAPPDATA%\Microsoft\Windows\RoamingTiles
Saved Games	%USERPROFILE%\Saved Games
Saved Pictures	%USERPROFILE%\Pictures\Saved Pictures
Screenshots	%USERPROFILE%\Pictures\Screenshots
Searches	%USERPROFILE%\Searches
SendTo	%APPDATA%\Microsoft\Windows\SendTo
Start Menu	%APPDATA%\Microsoft\Windows\Start Menu
StartUp	%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp
Templates	%APPDATA%\Microsoft\Windows\Templates
User Pinned	%APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned
Videos	%USERPROFILE%\Videos

SBC/ HVD Tuning

Mit SBC / HVD Tuning (Session-Based Computing / Hosted Virtual Desktop) können verschiedene Optionen für die Optimierung der Leistung bei Verwendung von Sitzungshosts wie Virtual Apps oder SharedDesktops aktiviert werden. Einige der Optionen dienen der Leistungssteigerung, können jedoch die Benutzererfahrung etwas beeinträchtigen.

Disable Drag Full Windows
- Deaktiviert die Anzeige des Fenster Inhalt beim ziehen in eine Position
Disable SmoothScroll
- Deaktiviert den Effekt des sanften Bildlaufs beim browsen von Seiten
Disable Cursor Blink
- Deaktiviert den Cursor Blink
Disable MinAnimate
- Schaltet den Animationseffekt beim Minimieren oder Maximieren von Fenstern aus
Enable AutoEndTasks
- Beendet Tasks automatisch, nachdem diese das Timeout (WaitToKillApp Timeout) erreicht haben
- WaitToKillApp Timeout
  - Definition des Timeout Werts (in Millisekunden) für das Beenden der Tasks
  - Der Standardwert ist 20.000 Millisekunden
Set Cursor Blink Rate
- Ändert die Cursor Blink Geschwindigkeit
Set Menu Show Delay
- Gibt eine Verzögerung (in Millisekunden) an, bevor das Menü nach der Anmeldung erscheint
Set Interactive Delay
- Gibt eine Verzögerung (in Millisekunden) an, bevor ein Untermenü nach einem Klick erscheint

Microsoft USV Settings

Mit den Microsoft USV Settings (User State Virtualization) kann WEM für die Konfiguration der Microsoft Roaming Profile und Folder Redirection genutzt werden.

Roaming Profiles Configuration

Mit diesen Einstellungen kann Microsoft Roaming Profiles über Workspace Environment Management konfiguriert werden.

Process User State Virtualization Configuration
- Steuert, ob der Agent USV Einstellungen verarbeitet
Exclude Administrators
- Wenn aktiviert, werden USV Einstellungen für Administratoren nicht verarbeitet, selbst wenn der Agent gestartet wird
Set Windows Roaming Profiles Path
- Der Pfad zum Windows Profil Ordner
Set RDS Roaming Profiles Path
- Der Pfad zum RDS Profil Ordner
Set RDS Home Drive Path
- Der Pfad zum RDS Home-Laufwerk sowie der Laufwerksbuchstabe, mit dem es in der Benutzerumgebung erscheinen soll

ROAMING PROFILES ADVANCED CONFIGURATION

Hiermit können erweiterte Optionen zur Optimierung des Roaming Profils hinterlegt werden.

Enable Folders Exclusions
- Die aufgelisteten Ordner werden nicht in das Roaming Profil der Benutzer aufgenommen
- Auf diese Weise können bestimmte Ordner ausgeschlossen werden, von denen bekannt ist, dass diese große Datenmengen enthalten, die der Benutzer nicht als Teil seines Roaming Profils benötigt
- Die Liste ist mit Standardausschlüssen für Windows 7 / 2008 R2 (Windows 7 / 2008R2 Default Exclusions) vor belegt und kann stattdessen auch mit Standardausschlüssen für Windows XP / 2003 (Windows XP / 2003 Default Exclusions) befüllt werden
Delete Cached Copies
- Der Agent löscht zwischengespeicherte Kopien der Roaming Profile
Add the Administrators Security Group to Roaming User Profiles
- Die Gruppe Administratoren wird als Eigentümer zu Roaming Benutzerprofilen hinzugefügt
Do Not Check for User Ownership of Roaming Profile Folders
- Der WEM Agent prüft nicht, ob der jeweilige Benutzer auch der Eigentümer des Ordners mit dem Roaming Profil ist, bevor es die Daten umkopiert
Do Not Detect Slow Network Connections
- Erkennung der Verbindungsgeschwindigkeit wird übersprungen
Wait for Remote User Profile
- Der Agent wartet, bis das Profil des Remote Users vollständig heruntergeladen ist, bevor er seine Einstellungen verarbeitet

Profile Cleansing

Die Schaltfläche Profile Cleansing öffnet einen Assistenten, mit dem vorhandene Profile anhand der Folder Exclusion Einstellungen bereinigt werden können.

Scan Profiles Folder
- Durchsucht den angegebenen Ordner mit den angegebenen Rekursionseinstellungen, um Benutzerprofile zu finden, und zeigt dann alle gefundenen Profile an

Cleanse Profile(s)
- Diese Schaltfläche bereinigt die ausgewählten Profile gemäß den Einstellungen für den Ausschluss von Ordnern

Manage Filters
- Hier sind die aktuellen Folder Exclusion aufgelistet und können auch angepasst oder erweitert werden

Folder Redirection

Über die beiden Reiter Folder Redirection können diese über WEM definiert werden und z.B. konfiguriert werden, ob und wohin die Ordner des Benutzers umgeleitet werden.

Process Folder Redirection Configuration
- Aktiviert kann der Agent, die in WEM definierten Folder Redirection verarbeiten
Redirect Desktop
- Angabe des Pfads, wohin der Desktop des Benutzers umgelenkt werden soll
Redirect Documents
- Angabe des Pfads, wohin der Documents Ordner des Benutzers umgelenkt werden soll
Redirect Pictures
- Angabe des Pfads, wohin der Pictures Ordner des Benutzers umgelenkt werden soll
- Pictures Follow Documents
  - Wenn aktiviert, wird der Pictures Ordner in den angegebenen Documents Ordner umgelenkt
Redirect Music
- Angabe des Pfads, wohin der Music Ordner des Benutzers umgelenkt werden soll
- Music Follow Documents
  - Wenn aktiviert, wird der Music Ordner in den angegebenen Documents Ordner umgelenkt
Redirect Videos
- Angabe des Pfads, wohin der Videos Ordner des Benutzers umgelenkt werden soll
- Videos Follow Documents
  - Wenn aktiviert, wird der Videos Ordner in den angegebenen Documents Ordner umgelenkt

Redirect Start Menu
- Angabe des Pfads, wohin das Startmenü des Benutzers umgelenkt werden soll
Redirect Favorites
- Angabe des Pfads, wohin der Favorites Ordner des Benutzers umgelenkt werden soll
Redirect AppData (Roaming)
- Angabe des Pfads, wohin der Roaming Teil des AppData Ordners des Benutzers umgelenkt werden soll
- Dies ist aber nicht empfohlen und kann zu verschiedenen Themen in modernen Betriebssystemen führen
Redirect Contacts
- Angabe des Pfads, wohin der Contacts Ordner des Benutzers umgelenkt werden soll
Redirect Downloads
- Angabe des Pfads, wohin der Downloads Ordner des Benutzers umgelenkt werden soll
Redirect Links
- Angabe des Pfads, wohin der Links Ordner des Benutzers umgelenkt werden soll
Redirect Searches
- Angabe des Pfads, wohin der Searches Ordner des Benutzers umgelenkt werden soll
Delete Local Redirected Folders
- Falls aktiviert, löscht der Agent die lokalen Kopien der für die Umleitung ausgewählten Ordner

Citrix Profile Management Settings

Workspace Environment Management unterstützt die Funktionen und den Betrieb der aktuellen Version von Citrix Profile Management. Daher können hier alle Einstellungen für die aktuelle Version von Citrix Profile Management hinterlegt werden.

WEM ist eine weitere Methode zur Konfiguration von Citrix Profile Management, neben Active Directory GPOs, Citrix Studio Policies oder der .ini-Dateien auf dem VDA.

Main Citrix Profile Management Settings

Diese Einstellungen steuern die wichtigsten Parameter des Citrix Profil Management.

Enable Profile Management Configuration
- Steuert, ob der WEM Agent Citrix Profile Management Einstellungen aus der Administration Console verarbeitet
Enable Profile Management
- Wenn aktiviert kann der Agent die Einstellungen im Abschnitt Profile Management verarbeiten
Set processed groups
- Hier kann festgelegt werden, welche Gruppen vom Citrix Profile Management verarbeitet werden
- Nur bei den angegebenen Gruppen werden die Einstellungen des Citrix Profile Management verarbeitet
- Wenn keine Gruppe hinterlegt wird, werden alle Benutzer verarbeitet
Set excluded groups
- Definiert welche Gruppen von Citrix Profile Management ausgeschlossen sind
Process logons of local administrators
- Wenn aktiviert, werden lokale Administratoranmeldungen von Citrix Profile Management genauso behandelt wie Nicht-Administratoranmeldungen
Set path to user store
- Angabe des Pfads zum Ordner des Benutzerspeichers
- Kann mit den bekannten Variablen (z.B. #samaccountname# oder !ctx_OSNAME!) bestückt werden
Migrate user store
- Diese Option kann genutzt werden, um einen bestehenden Speicher mit Profilen umzuziehen
- Hierfür muss der Pfad zum alten Profile Store (Quelle) unter Migrate user store eingegeben werden
- Der neue Profile Store (Ziel) muss dann unter Set path to user store hinterlegt werden
- Bei der Anmeldung checkt das Profile Management, ob ein Profile in der Quelle vorhanden ist und kopiert dies dann in den neuen Profile Store
- Wenn bei der Anmeldung kein altes Profile im Quell Verzeichnis vorhanden ist, wird einfach ein neues Profile im Ziel Verzeichnis erzeugt
Enable active write back
- Hiermit werden die Profileänderungen während der Laufzeit der Sitzung des Benutzers in den User Store zurückgeschrieben, um Datenverluste zu vermeiden
- Dies ist mit Vorsicht zu genießen, da es den User Store stark auslasten (Meine Empfehlung ist hier, dies nicht einfach so zu aktivieren!)
Enable active write back registry
- Registrierungseinträge werden während der Sitzung des Benutzers in den User Store zurückgeschrieben, um Datenverluste zu vermeiden
- Ähnlich wie bei Enable active write back mit Vorsicht einsetzen
Enable offline profile support
- Profile werden lokal zwischengespeichert und können verwendet werden, wenn keine Verbindung zum User Store besteht

Profile Container Settings

Diese Optionen steuern die Einstellungen des Profile Container Bereichs bei Citrix Profile Management.

Enable Profile Container
- Wenn aktiviert, ordnet das Citrix Profile Management die aufgelisteten Ordner des im Netzwerk gespeicherten Profile Container zu, so dass keine Kopie der Ordner im lokalen Profil vorhanden ist
- Es muss mindestens ein Ordner hinterlegt werden, der in den Profile Container aufgenommen werden soll
Enable Folder Exclusions for Profile Container
- Die aufgelisteten Ordner werden aus dem Profile Container ausgeschlossen
Enable Folder Inclusions for Profile Container
- Das Profile Management behält die aufgelisteten Ordner im Profile Container, wenn die übergeordneten Ordner ausgeschlossen worden sind
- Bei den Ordnern in dieser Liste muss es sich um Unterordner der ausgeschlossenen Ordner handeln
- Diese Option muss in Kombination mit der Option Enable Folder Exclusions for Profile Container verwendet werden
Enable File Exclusions for Profile Container
- Die aufgelisteten Dateien werden aus dem Profile Container ausgeschlossen
Enable File Inclusions for Profile Container
- Das Profile Management behält die aufgelisteten Dateien im Profile Container, wenn die übergeordneten Ordner ausgeschlossen worden sind
- Diese Option muss in Kombination mit der Option Enable Folder Exclusions for Profile Container verwendet werden
Enable Local Cache for Profile Container
- Wenn diese Funktion aktiviert ist, dient jedes lokale Profil als lokaler Cache für seinen Profile Container
- Wenn Profile Streaming verwendet wird, werden lokal gecachte Dateien bei Bedarf erstellt
- Andernfalls werden die gecachten Dateien bei der Benutzeranmeldung erstellt

Profile Handling

Diese Einstellungen steuern das Profile Handling des Citrix Profile Management.

Delete local cached profiles on logoff
- Es werden die lokal zwischengespeicherten Profile gelöscht, wenn sich der Benutzer abmeldet
- Set delay before deleting cached profiles
  - Aktivierung einer Verzögerung (in Sekunden), bevor zwischengespeicherte Profile bei der Abmeldung gelöscht werden
  - Unterstützte Werte: 0-600
Enable Migration of Existing Profiles
- Vorhandene Windows Profile werden bei der Anmeldung nach Citrix Profile Management migriert
Automatic migration of existing application profiles
- Wenn diese Option aktiviert ist, werden vorhandene Anwendungsprofile automatisch migriert, wenn sich ein Benutzer anmeldet und kein Benutzerprofil im User Store vorhanden ist
- Dies geschieht durch automatische Erkennung an folgenden Orten:
  - Unter %userprofile%\Local\Appdata\ und %userprofile%\Roaming\Appdata
  - Die Microsoft Ordner, die Informationen über die aktuelle Betriebssystemplattform enthalten, werden ignoriert
  - Registrierungsschlüssel unter HKCU\Software und HKCU\Software\Wow6432Node
Enable local profile conflict handling
- Konfiguriert, wie Citrix Workspace Environment Management Fälle behandelt, in denen Profile Management und das Windows Profile in Konflikt stehen
Enable template profile
- Pfad zum Template Profile, falls eins verwendet werden soll
- Template profile overrides local profile
  - Das Template Profile überschreibt eventuell vorhandene lokale Profile des Benutzers
- Template profile overrides roaming profile
  - Das Template Profile überschreibt eventuell vorhandene Roaming Profiles des Benutzers
- Template profile used as Citrix mandatory profile for all logons
  - Wenn diese Option aktiviert ist, überschreibt das Template Profile alle anderen vorhandenen Profile
  - Das Profile ist quasi nur noch Read-Only und übernimmt keine Änderungen nach der Abmeldung

Advanced Settings

Unter diesem Reiter können die Advanced Settings für das Citrix Profile Management konfiguriert werden.

Set number of retries when accessing locked files
- Legt fest, wie oft der Agent den Zugriff auf gesperrte Dateien erneut versucht
Set directory of the MFT cache file
- Ermöglicht die Angabe des Verzeichnisses der MFT-Cache Datei
- Diese Option ist veraltet und wird in Zukunft entfernt
Enable application profiler
- Aktivierung der Anwendungsbasierten Profilbehandlung
- Es werden nur die in der Definitionsdatei definierten Einstellungen synchronisiert
Process Internet cookie files on logoff
- Wenn diese Option aktiviert ist, werden veraltete Cookies bei der Abmeldung gelöscht
Delete redirected folders
- Die lokalen Kopien der umgeleiteten Ordner werden gelöscht
Disable automatic configuration
- Wenn aktiviert, ist die Automatische Konfiguration deaktiviert
Log off user if a problem is encountered
- Es werden die Benutzer bei Problemen abgemeldet und nicht auf ein temporäres Profil umgestellt
Customer experience improvement program
- Das Programm zur Verbesserung der Kundenzufriedenheit (CEIP) ist aktiv
Enable multi-session write-back for profile containers
- Wenn diese Option aktiviert ist, speichert das Citrix Profile Management Änderungen in Multisession Szenarien sowohl für FSLogix Profile Container als auch für Citrix Profile Management Profile Container
- Wenn derselbe Benutzer mehrere Sitzungen auf verschiedenen Rechnern startet, werden die in jeder Sitzung vorgenommenen Änderungen synchronisiert und auf dem Profile Container Store des Benutzers gespeichert
Replicate user stores
- Während der Anmeldung und Abmeldung werden die Profildaten auf die angegebenen Pfade repliziert
- Die Benutzerspeicherpfade werden zusätzlich zu dem in der Einstellung Set path to user store angegebenen
Customize storage path for VHDX files
- Ermöglicht die Angabe eines separaten Pfads zum Speichern von VHDX Container
- Standardmäßig werden die VHDX Container im User Store gespeichert
Enable search index roaming for Microsoft Outlook users
- Wenn diese Funktion aktiviert ist, werden die benutzerspezifische Microsoft Outlook Offline Ordner Datei (*.ost) und die Microsoft Suchdatenbank zusammen mit dem Benutzerprofil verschoben
- Dies verbessert die Benutzererfahrung bei der Suche nach E-Mails in Microsoft Outlook
- Outlook search index database – backup and restore
  - Wenn diese Option aktiviert ist, speichert CPM automatisch eine Sicherungskopie der letzten bekannten guten Kopie der Suchindexdatenbank
  - Im Falle einer Beschädigung greift Citrix Profile Management auf diese Kopie zurück
  - Die Datenbank muss nicht mehr manuell neu indizieren, wenn die Suchindexdatenbank beschädigt wird

Log Settings

Diese Optionen steuern die Log Settings des Citrix Profile Management.

Enable Logging
- Aktiviert / Deaktiviert die Protokollierung von Profile Management Vorgängen
Configure Log Settings
- Welche Arten von Ereignissen soll in die Protokolle aufgenommen werden
Set Maximum Size of Log File
- Ermöglicht die Angabe einer maximalen Größe in Bytes für die Protokolldatei
Set Path to Log File
- Angabe des Orts an dem die Protokolldatei erstellt werden soll

Registry

Diese Optionen steuern die Registry Einstellungen des Citrix Profile Management.

NTUSER.DAT Backup
- Wenn aktiviert, erstellt Citrix Profile Management eine Sicherungskopie der Datei NTUSER.DAT, die als die letzte bekannte Kopie gilt
- Wenn CPM eine Beschädigung feststellt, verwendet es die letzte als gut bekannte Sicherungskopie zur Wiederherstellung des Profils
Enable Default Exclusion List
- Standardliste der Registrierungsschlüssel im HKCU Hive, die nicht mit dem Benutzerprofil synchronisiert werden
Enable Registry Exclusions
- Registrierungseinstellungen in dieser Liste werden zwangsweise von Citrix Profile Management ausgeschlossen
Enable Registry Inclusions
- Registrierungseinstellungen in dieser Liste werden in CPM aufgenommen

! Wichtig !

Wenn Enable Registry Inclusion aktiviert ist, werden nur die angegeben Registrierungseinstellungen synchronisiert, der Rest der Registry wird ausgeschlossen ! Dies kann zu defekten Registrierungen im Profil führen!

File System

Diese Optionen steuern die Datei und Ordner Ausschlüsse für das Citrix Profile Management.

Enable Logon Exclusion Check
- Es wird konfiguriert, was CPM tut, wenn sich ein Benutzer anmeldet und ein Profil im Benutzerspeicher ausgeschlossene Dateien oder Ordner enthält
- Wenn diese Option deaktiviert ist, ist das Standardverhalten, das ausgeschlossene Dateien oder Ordner bei der Anmeldung dennoch synchronisiert werden (Die definierten Exclusion ziehen nur bei der Abmeldung)
  - Synchronize excluded files or folders
    - Citrix Profile Management synchronisiert die ausgeschlossenen Dateien und Ordner bei der Anmeldung aus dem Benutzerpfad in das Lokale Profil
  - Ignore excluded files or folders
    - Citrix Profile Management ignoriert die ausgeschlossenen Dateien und Ordner bei der Anmeldung
  - Delete excluded files or folder
    - Citrix Profile Management löscht die ausgeschlossenen Dateien und Ordner bei der Anmeldung aus dem jeweiligen Benutzerpfad
Enable Default Exclusion List – Directories
- Wenn aktiviert, wird die angegebene Standardliste von Ordnern ausgeschlossen und nicht ins Profil synchronisiert
- Die Ordner in der Liste können noch einzeln deaktiviert werden
Enable File Exclusions
- Definition von bestimmten Dateien die aus dem Profil aus geschlossen werden
- Pfade in dieser Liste müssen relativ zum Benutzerprofil sein
- Wildcards können verwendet werden, sind aber nur für Dateinamen zulässig
- Die Liste ist initial mit Standardausschlüssen für Windows 7 vorausgefüllt, kann aber auch mit Standardausschlüssen für Windows XP vorausgefüllt werden
Enable Folder Exclusions
- Definition von bestimmten Ordnern, die aus dem Profil ausgeschlossen werden sollen
- Pfade in dieser Liste müssen relativ zum Benutzerprofil sein
- Wildcards können verwendet werden, sind aber nur für Dateinamen zulässig
- Die Liste ist initial mit Standardausschlüssen für Windows 7 vorausgefüllt, kann aber auch mit Standardausschlüssen für Windows XP vorausgefüllt werden

Profile Cleansing
- Die Schaltfläche Profile Cleansing öffnet einen Assistenten, mit dem vorhandene Profile anhand der Folder und File Exclusion Einstellungen bereinigt werden können

Scan Profiles Folder
- Durchsucht den angegebenen Ordner mit den angegebenen Rekursionseinstellungen, um Benutzerprofile zu finden, und zeigt dann alle gefundenen Profile an

Cleanse Profile(s)
- Diese Schaltfläche bereinigt die ausgewählten Profile gemäß den Einstellungen für den Ausschluss von Ordnern

Manage Filters
- Hier sind die aktuellen Folder Exclusion aufgelistet und können auch angepasst oder erweitert werden

Synchronization

Diese Optionen steuern die Synchronization Einstellungen des CPM.

Enable Directory Synchronization
- Es werden die aufgelisteten Ordner mit dem Benutzerspeicher über die Laufzeit der Session synchronisiert
- Dies sorgt dafür das die Benutzer immer die aktuellsten Versionen der Ordner erhalten
- Pfade in dieser Liste müssen relativ zum Benutzerprofil sein
- Wildcards können verwendet werden, sind aber nur für Dateinamen zulässig
Enable File Synchronization
- Die aufgelisteten Dateien werden mit dem Benutzerspeicher synchronisiert
- Dies sorgt dafür das die Benutzer immer die aktuellsten Versionen der Dateien erhalten
- Wenn Dateien in mehr als einer Sitzung geändert wurden, werden die aktuellsten Dateien im Benutzerspeicher gespeichert
- Pfade in dieser Liste müssen relativ zum Benutzerprofil sein
- Wildcards können verwendet werden, sind aber nur für Dateinamen zulässig
Enable Folder Mirroring
- Wenn diese Option aktiviert ist, werden die aufgelisteten Ordner bei der Abmeldung in den Benutzerspeicher gespiegelt
- Dateien in gespiegelten Ordnern überschreiben bei der Abmeldung von der Sitzung immer die im Benutzerspeicher gespeicherten Dateien, unabhängig davon, ob sie geändert wurden
- Wenn im Benutzerspeicher zusätzliche Dateien oder Unterordner im Vergleich zu den lokalen Versionen in gespiegelten Ordnern vorhanden sind, werden diese zusätzlichen Dateien und Unterordner beim Abmelden von der Sitzung aus dem Benutzerspeicher gelöscht
- Accelerate Folder Mirroring
  - Wenn aktiviert, werden gespiegelte Ordner auf einer VHDX-basierten virtuellen Festplatte (MirrorFolders.vhdx) gespeichert
  - Es wird ein Ordner namens MirrorFolders im Benutzerspeicher erstellt und in diesem werden die VHDX-Dateien abgelegt
  - Die gleichzeitige Anmeldung bei mehreren Sitzungen führt zu mehreren Diff-Disks (Diff_1_<Worker-Name.vhdx>
Enable Large File Handling
- Große Dateien werden in den Benutzerspeicher umgeleitet, so dass eine Synchronisierung dieser Dateien über das Netzwerk nicht erforderlich ist

Streamed User Profiles

Diese Optionen steuern die Einstellungen des Streamed User Profiles.

Enable Profile Streaming
- Wenn diese Option deaktiviert ist, werden keine der Einstellungen in diesem Abschnitt verarbeitet
Enable Profile Streaming for Folders
- Wenn diese Option aktiviert ist, werden die Ordner nur abgerufen, wenn auf sie zugegriffen wird
- Mit dieser Einstellung entfällt die Notwendigkeit, alle Ordner während der Benutzeranmeldung zu durchsuchen, wodurch Bandbreite gespart und die Zeit für die Synchronisierung von Dateien verkürzt wird
Always Cache
- Wenn diese Option aktiviert ist, werden Dateien mit der angegebenen Größe aus Cache files this size or larger (megabytes) immer zwischengespeichert
Set timeout for pending area lock files
- Gibt Dateien frei, so dass sie nach der angegebenen Zeit aus dem Pending Bereich zurück in den Benutzerspeicher geschrieben werden
- Dies ist von Nöten wenn der Benutzerspeicher gesperrt bleibt, da ein Server nicht mehr reagiert
Set streamed user profile groups
- Diese Liste legt fest, für welche Benutzergruppen Streamed User Profiles verwendet werden soll
Enable Profile Streaming Exclusion List – Directories
- Citrix Profile Management führt kein Streaming von Ordnern in dieser Liste durch
- Alle Ordner werden sofort aus dem Benutzerspeicher auf den lokalen Computer geholt, wenn sich die Benutzer anmelden
- Dies wird für manche Software benötigt, die alle Daten beim Session Start benötigt und daher kein Streamed User Profile unterstützt

Cross-Platform Settings

Diese Optionen steuern die Cross-Platform Einstellungen, womit Betriebssystem und Anwendungsoptionen portiert werden können. Es werden aber nur ältere Betriebssysteme unterstützt (Windows XP, Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2).

Enable cross-platform settings
- Wenn diese Option deaktiviert ist, werden keine der Einstellungen in diesem Abschnitt verarbeitet
Set cross-platform settings groups
- Angabe von Benutzergruppen, für die Cross-Platform Profile verwendet werden
Set path to cross-platform definitions
- Angabe der Definitionsdatei für Cross-Platform Profile
Set path to cross-platform setting store
- Pfad zum Cross-Platform Einstellungen
Enable source for creating cross-platform settings
- Definiert dies als die Quellplattform für Cross-Platform Einstellungen

Security

Mit den Security Einstellungen wird z.B. definiert, welche Anwendungen Benutzer ausführen dürfen und welche nicht.

Application Security

Unter Application Security werden alle Rules der Unterkategorien aufgelistet.

Process Application Security Rules
- Wenn diese Option ausgewählt ist, sind die Steuerelemente der Registerkarte Application Security aktiviert, und der Agent verarbeitet Regeln des aktuellen Configuration Sets und konvertiert sie in AppLockerRegeln auf dem Host
- Wenn diese Option nicht ausgewählt ist, sind die Steuerelemente der Registerkarte Application Security deaktiviert und der Agent erstellt keine neuen Regeln
- Es werden aber die vorher erstellten AppLocker Regeln nicht aktualisiert und daher sind ältere übermittelte Regeln noch aktiv
Process DLL Rules
- Wenn diese Option ausgewählt ist, verarbeitet der WEM Agent DLL-Regeln des aktuellen Configuration Sets und konvertiert diese in AppLocker DLL-Regeln auf dem Host
- Diese Option ist nur verfügbar, wenn Process Application Security aktiviert ist
- Wenn DLL-Regeln verwendet werden sollen, sollten vorher DLL-Regeln, mit der Berechtigung Allow, für alle DLLs erstellt werden, die von erlaubten Applikationen verwendet werden
- Wenn DLL-Regeln verwendet werden, kann die User Experience der Benutzer beeinträchtigt werden, da jede DLL die eine App lädt überprüft wird, bevor sie ausgeführt werden darf
Overwrite
- Die zuletzt verarbeiteten Regeln überschreiben die zuvor verarbeiteten Regeln
Merge
- Es werden die neuen Regeln mit bestehenden Regeln zusammengeführt
- Beim Auftreten von Konflikten überschreiben die zuletzt verarbeiteten Regeln die zuvor verarbeiteten Regeln

Import AppLocker Rules

Hiermit können aus AppLocker exportierte Regeln in Workspace Environment Management importiert werden. Importierte Windows AppLocker Einstellungen werden zu den vorhandenen Regeln auf der Registerkarte Security hinzugefügt. Alle ungültigen Regeln werden automatisch gelöscht und in einem Berichtsdialog aufgeführt.

Rule enforcement

In den einzelnen Application Security Unterkategorien kann man die Rule Enforcement Einstellung definieren. Hiermit kann man steuern, wie AppLocker alle Regeln in dieser Sammlung auf dem Agenten Host durchsetzt.

Off
- Erstellte Regeln auf dem Zielsystem werden nicht angewendet

On
- Erstellte Regeln auf dem Zielsystem werden aktiviert

Audit
- Regeln werden auf dem Zielsystem erstellt und auf audit gesetzt, d. h. sie befinden sich auf dem Agent Host in einem inaktiven Zustand
- Wenn ein Benutzer eine App ausführt, die gegen eine AppLocker Regel verstößt, darf die App ausgeführt werden und die Informationen über die App werden dem AppLocker Ereignisprotokoll hinzugefügt

Executable Rules

Regeln die einer Anwendung zugeordnet sind und die Erweiterungen .exe oder .com enthalten.

Über Edit können die vorhandenen Rules editiert und über Delete einzelne markierte Regeln gelöscht werden.

Über Add Rule können neue manuelle Regeln oder über Add Default Rule vorhandene Standardregeln erstellt werden.

Add Rule

Name
- Der Anzeigename der Regel, wie er in der Liste erscheint
Description
- Zusätzliche Informationen über die Ressource
Type
- Path
  - Die Regel kann mit einem Datei- oder Ordnerpfad definiert werden
- Publisher
  - Die Regel kann mit einem Publisher definiert werden
- Hash
  - Es kann ein Hash Wert hinterlegt werden
Permissions
- Status der Regel (Allow/ Deny)
- Wenn Deny wird es nicht dem Benutzer in der Session hinzugefügt, auch wenn das Objekt zugeordnet ist
Assignments
- Es können die üblichen Windows Auswahltasten verwendet werden, um eine Mehrfachauswahl zu treffen oder es werden alle Objekte über Select All ausgewählt
- Die Benutzer müssen sich bereits in der Liste der Workspace Environment Management Users (aus Active Directory Objects) befinden

Path
- Eingabe eines Dateipfad oder eines Ordnerpfad, auf den die Regel zutreffen soll
- Wenn ein Ordner ausgewählt wird, wird die Regel auf alle Dateien innerhalb und unterhalb dieses Ordners angewendet

Publisher
- Eine signierte Referenzdatei kann angegeben werden, die als Referenz für die Regel verwendet werden kann
- Mit dem Schieberegler Publisher Info, kann der Grad der Eigenschaftsübereinstimmung eingestellt werden
- Use custom values
  - Nach Aktivierung können die Felder manuell befüllt werden

Hash
- Eingabe einer Datei oder eines Ordners, der als Referenz Hash Wert gelten soll

Exception
- Hinzunahme von gewünschten Ausnahmen
- Unter Add Exception kann der Typ ausgewählt werden

Windows Rules

Regeln die Installationsdateiformate (.msi, .msp, .mst) enthalten und die Installation von Dateien steuert.

Über Edit können die vorhandenen Rules editiert und über Delete einzelne markierte Regeln gelöscht werden.

Über Add Rule können neue manuelle Regeln oder über Add Default Rule vorhandene Standardregeln erstellt werden.

Add Rule

Name
- Der Anzeigename der Regel, wie er in der Liste erscheint
Description
- Zusätzliche Informationen über die Ressource
Type
- Path
  - Die Regel kann mit einem Datei- oder Ordnerpfad definiert werden
- Publisher
  - Die Regel kann mit einem Publisher definiert werden
- Hash
  - Es kann ein Hash Wert hinterlegt werden
Permissions
- Status der Regel (Allow/ Deny)
- Wenn Deny wird es nicht dem Benutzer in der Session hinzugefügt, auch wenn das Objekt zugeordnet ist
Assignments
- Es können die üblichen Windows Auswahltasten verwendet werden, um eine Mehrfachauswahl zu treffen oder es werden alle Objekte über Select All ausgewählt
- Die Benutzer müssen sich bereits in der Liste der Workspace Environment Management Users (aus Active Directory Objects) befinden

Path
- Eingabe eines Dateipfad oder eines Ordnerpfad, auf den die Regel zutreffen soll
- Wenn ein Ordner ausgewählt wird, wird die Regel auf alle Dateien innerhalb und unterhalb dieses Ordners angewendet

Publisher
- Eine signierte Referenzdatei kann angegeben werden, die als Referenz für die Regel verwendet werden kann
- Mit dem Schieberegler Publisher Info, kann der Grad der Eigenschaftsübereinstimmung eingestellt werden
- Use custom values
  - Nach Aktivierung können die Felder manuell befüllt werden

Hash
- Eingabe einer Datei oder eines Ordners, der als Referenz Hash Wert gelten soll

Scripts Rules

Regelt die Verarbeitung von Script Dateien (.ps1, .bat, .cmd, .vbs, .js).

Über Edit können die vorhandenen Rules editiert und über Delete einzelne markierte Regeln gelöscht werden.

Über Add Rule können neue manuelle Regeln oder über Add Default Rule vorhandene Standardregeln erstellt werden.

Add Rule

Name
- Der Anzeigename der Regel, wie er in der Liste erscheint
Description
- Zusätzliche Informationen über die Ressource
Type
- Path
  - Die Regel kann mit einem Datei- oder Ordnerpfad definiert werden
- Publisher
  - Die Regel kann mit einem Publisher definiert werden
- Hash
  - Es kann ein Hash Wert hinterlegt werden
Permissions
- Status der Regel (Allow/ Deny)
- Wenn Deny wird es nicht dem Benutzer in der Session hinzugefügt, auch wenn das Objekt zugeordnet ist
Assignments
- Es können die üblichen Windows Auswahltasten verwendet werden, um eine Mehrfachauswahl zu treffen oder es werden alle Objekte über Select All ausgewählt
- Die Benutzer müssen sich bereits in der Liste der Workspace Environment Management Users (aus Active Directory Objects) befinden

Path
- Eingabe eines Dateipfad oder eines Ordnerpfad, auf den die Regel zutreffen soll
- Wenn ein Ordner ausgewählt wird, wird die Regel auf alle Dateien innerhalb und unterhalb dieses Ordners angewendet

Publisher
- Eine signierte Referenzdatei kann angegeben werden, die als Referenz für die Regel verwendet werden kann
- Mit dem Schieberegler Publisher Info, kann der Grad der Eigenschaftsübereinstimmung eingestellt werden
- Use custom values
  - Nach Aktivierung können die Felder manuell befüllt werden

Hash
- Eingabe einer Datei oder eines Ordners, der als Referenz Hash Wert gelten soll

Exception
- Hinzunahme von gewünschten Ausnahmen
- Unter Add Exception kann der Typ ausgewählt werden

Packaged Rules

Regeln, die gepackte Apps, auch als Universal Windows-Apps bezeichnet, enthalten. In gepackten Apps haben alle Dateien innerhalb des App-Pakets dieselbe Identität. Daher kann eine Regel die gesamte App steuern. Workspace Environment Management unterstützt nur Publisher Regeln für gepackte Apps.

Über Edit können die vorhandenen Rules editiert und über Delete einzelne markierte Regeln gelöscht werden.

Über Add Rule können neue manuelle Regeln oder über Add Default Rule vorhandene Standardregeln erstellt werden.

Add Rule

Name
- Der Anzeigename der Regel, wie er in der Liste erscheint
Description
- Zusätzliche Informationen über die Ressource
Permissions
- Status der Regel (Allow/ Deny)
- Wenn Deny wird es nicht dem Benutzer in der Session hinzugefügt, auch wenn das Objekt zugeordnet ist
Assignments
- Es können die üblichen Windows Auswahltasten verwendet werden, um eine Mehrfachauswahl zu treffen oder es werden alle Objekte über Select All ausgewählt
- Die Benutzer müssen sich bereits in der Liste der Workspace Environment Management Users (aus Active Directory Objects) befinden

Publisher
- Eine signierte Referenzdatei kann angegeben werden, die als Referenz für die Regel verwendet werden kann
- Mit dem Schieberegler Publisher Info, kann der Grad der Eigenschaftsübereinstimmung eingestellt werden
- Use custom values
  - Nach Aktivierung können die Felder manuell befüllt werden

Exception
- Hinzunahme von gewünschten Ausnahmen
- Unter Add Exception kann der Typ ausgewählt werden

DLL Rules

Regeln für die Absicherung der folgenden Formaten: .dll, .ocx

Über Edit können die vorhandenen Rules editiert und über Delete einzelne markierte Regeln gelöscht werden.

Über Add Rule können neue manuelle Regeln oder über Add Default Rule vorhandene Standardregeln erstellt werden.

Add Rule

Name
- Der Anzeigename der Regel, wie er in der Liste erscheint
Description
- Zusätzliche Informationen über die Ressource
Type
- Path
  - Die Regel kann mit einem Datei- oder Ordnerpfad definiert werden
- Publisher
  - Die Regel kann mit einem Publisher definiert werden
- Hash
  - Es kann ein Hash Wert hinterlegt werden
Permissions
- Status der Regel (Allow/ Deny)
- Wenn Deny wird es nicht dem Benutzer in der Session hinzugefügt, auch wenn das Objekt zugeordnet ist
Assignments
- Es können die üblichen Windows Auswahltasten verwendet werden, um eine Mehrfachauswahl zu treffen oder es werden alle Objekte über Select All ausgewählt
- Die Benutzer müssen sich bereits in der Liste der Workspace Environment Management Users (aus Active Directory Objects) befinden

Path
- Eingabe eines Dateipfad oder eines Ordnerpfad, auf den die Regel zutreffen soll
- Wenn ein Ordner ausgewählt wird, wird die Regel auf alle Dateien innerhalb und unterhalb dieses Ordners angewendet

Publisher
- Eine signierte Referenzdatei kann angegeben werden, die als Referenz für die Regel verwendet werden kann
- Mit dem Schieberegler Publisher Info, kann der Grad der Eigenschaftsübereinstimmung eingestellt werden
- Use custom values
  - Nach Aktivierung können die Felder manuell befüllt werden

Hash
- Eingabe einer Datei oder eines Ordners, der als Referenz Hash Wert gelten soll

Exception
- Hinzunahme von gewünschten Ausnahmen
- Unter Add Exception kann der Typ ausgewählt werden

Process Management

Mit diesen Einstellungen können Sie bestimmte Prozesse in die Liste der zulässigen oder blockierten Prozesse aufnehmen.

Alle Einstellungen müssen auf der jeweiligen Registerkarte mit Apply bestätigt werden.

Process Management

Diese Option funktioniert nur, wenn der Agent in der Sitzung des Benutzers ausgeführt wird. Hierfür muss der Agent Type UI gestellt werden (Advanced Settings > Configuration > Main Configuration).

Enable Process Management
- Nur wenn dies aktiviert wird, werden die Einstellungen unter Process BlackList und Process WhiteList verarbeitet

Process BlackList

Mit diesen Einstellungen können bestimmte Prozesse blockiert werden.

Enable Process BlackList
- Aktiviert, werden die Prozesse auf der Liste blockiert
- Die Prozesse müssen unter Verwendung ihres ausführbaren Namens hinzugefügt werden (z. B. cmd.exe)
Exclude Local Administrators
- Die geblockten Prozesse gelten nicht für lokale Administrationskonten
Exclude Specified Groups
- Ermöglicht den Ausschluss bestimmter Benutzergruppen

Process WhiteList

Mit dieser Einstellung können bestimmte Prozesse in die Liste der erlaubten Prozesse aufgenommen werden. Die BlackList und die WhiteList schließen sich gegenseitig aus.

Enable Process WhiteList
- Es werden die Prozesse aus der Liste verarbeitet
- Die Prozesse müssen unter Verwendung ihres ausführbaren Namens hinzugefügt werden (z. B. cmd.exe)
- Wenn diese Option aktiviert ist, werden alle Prozesse, die sich nicht in der WhiteList befinden, automatisch blockiert
Exclude Local Administrators
- Die lokale Administrationskonten können alle Prozesse starten
Exclude Specified Groups
- Ermöglicht den Ausschluss bestimmter Benutzergruppen und diese können dann alle Prozesse starten

Privilege Elevation

Mit der Funktion Privilege Elevation können die Berechtigungen von nicht administrativen Benutzern auf eine, für einige ausführbare Dateien erforderliche, Administratorstufe erhöht werden. Dadurch können die Benutzer diese ausführbaren Dateien so starten, als ob sie Mitglieder der Administratorengruppe wären.

Process Privilege Elevation Settings
- Legt fest, ob die Funktion Privilege Elevation aktiviert werden soll
- Wenn aktiviert, können die Agents die Einstellungen für Privilege Elevation verarbeiten und die weiteren Optionen werden verfügbar
Do Not Apply to Windows Server OSs
- Aktiviert, wird Privilege Elevation nicht auf Windows Server OS angewendet und die hinterlegten Regeln werden nicht benutzt
Enforce RunAsInvoker
- Es werden alle ausführbaren Dateien unter dem aktuellen Windows Konto ausgeführt und die Benutzer werden nicht aufgefordert, dies als Administratoren auszuführen

Executable Rules

Regeln die einer Anwendung zugeordnet sind und die Erweiterungen .exe oder .com enthalten.

Über Edit können die vorhandenen Rules editiert und über Delete einzelne markierte Regeln gelöscht werden.

Über Add Rule können neue manuelle Regeln erstellt werden.

Add Rule

Name
- Der Anzeigename der Regel, wie er in der Liste erscheint
Description
- Zusätzliche Informationen über die Ressource
Type
- Path
  - Die Regel kann mit einem Dateipfad definiert werden
- Publisher
  - Die Regel kann mit einem Publisher definiert werden
- Hash
  - Es kann ein Hash Wert hinterlegt werden

Start Time
- Angabe einer Zeit, zu der die Agenten mit der Anwendung der Regel beginnen sollen
- Das Zeitformat ist HH:MM
- Die Zeit basiert auf der Zeitzone des Agents
End Time
- Zeitangabe zu der die Agenten die Anwendung der Regel beenden sollen
- Das Zeitformat ist HH:MM
- Ab dem angegebenen Zeitpunkt wenden die Agenten die Regel nicht mehr an
- Die Zeit basiert auf der Zeitzone des Agents
Add Parameter
- Ermöglicht die Beschränkung des Privilege Elevation Features auf ausführbare Dateien, die dem angegebenen Parameter entsprechen
- Enable Regular Expressions
  - Sollen Regular Expressions verwendet werden, um das Kriterium zu erweitern
Apply to Child Processes
- Die Regel wird auf alle Child Prozesse angewendet, die die ausführbare Datei startet
- Die Privilege Elevation kann noch weiter definiert werden:
- Apply only to executables in the same folder
  - Die Regel wird nur auf ausführbare Dateien angewendet, die sich im selben Ordner befinden
- Apply only to signed executables
  - Die Regel wird nur auf signierte ausführbare Dateien angewendet
- Apply only to executables of the same publisher
  - Die Regel wird nur auf ausführbare Dateien angewendet, die dieselben Publisher Informationen haben
  - Diese Einstellung funktioniert nicht mit Universal Windows Platform (UWP) Apps
Assignments
- Es können die üblichen Windows Auswahltasten verwendet werden, um eine Mehrfachauswahl zu treffen oder es werden alle Objekte über Select All ausgewählt
- Die Benutzer müssen sich bereits in der Liste der Workspace Environment Management Users (aus Active Directory Objects) befinden

Path
- Eingabe eines Dateipfad oder eines Ordnerpfad, auf den die Regel zutreffen soll
- Wenn ein Ordner ausgewählt wird, wird die Regel auf alle Dateien innerhalb und unterhalb dieses Ordners angewendet

Publisher
- Eine signierte Referenzdatei kann angegeben werden, die als Referenz für die Regel verwendet werden kann
- Mit dem Schieberegler Publisher Info, kann der Grad der Eigenschaftsübereinstimmung eingestellt werden
- Use custom values
  - Nach Aktivierung können die Felder manuell befüllt werden

Hash
- Eingabe einer Datei oder eines Ordners, der als Referenz Hash Wert gelten soll

Windows Installer Rules

Sammlung an Regeln für Installationsdateien mit den Erweiterungen .msi und .msp.

Die Privilege Elevation gilt nur für die msiexec.exe von Microsoft
Daher sollten alle .msi und .msp Windows Installer Dateien msiexec.exe verwenden

Über Edit können die vorhandenen Rules editiert und über Delete einzelne markierte Regeln gelöscht werden.

Über Add Rule können neue manuelle Regeln erstellt werden.

Add Rule

Name
- Der Anzeigename der Regel, wie er in der Liste erscheint
Description
- Zusätzliche Informationen über die Ressource
Type
- Path
  - Die Regel kann mit einem Dateipfad definiert werden
- Publisher
  - Die Regel kann mit einem Publisher definiert werden
- Hash
  - Es kann ein Hash Wert hinterlegt werden

Start Time
- Angabe einer Zeit, zu der die Agenten mit der Anwendung der Regel beginnen sollen
- Das Zeitformat ist HH:MM
- Die Zeit basiert auf der Zeitzone des Agents
End Time
- Zeitangabe zu der die Agenten die Anwendung der Regel beenden sollen
- Das Zeitformat ist HH:MM
- Ab dem angegebenen Zeitpunkt wenden die Agenten die Regel nicht mehr an
- Die Zeit basiert auf der Zeitzone des Agents
Add Parameter
- Ermöglicht die Beschränkung des Privilege Elevation Features auf ausführbare Dateien, die dem angegebenen Parameter entsprechen
- Enable Regular Expressions
  - Sollen Regular Expressions verwendet werden, um das Kriterium zu erweitern
Apply to Child Processes
- Die Regel wird auf alle Child Prozesse angewendet, die die ausführbare Datei startet
Assignments
- Es können die üblichen Windows Auswahltasten verwendet werden, um eine Mehrfachauswahl zu treffen oder es werden alle Objekte über Select All ausgewählt
- Die Benutzer müssen sich bereits in der Liste der Workspace Environment Management Users (aus Active Directory Objects) befinden

Path
- Eingabe eines Dateipfad oder eines Ordnerpfad, auf den die Regel zutreffen soll
- Wenn ein Ordner ausgewählt wird, wird die Regel auf alle Dateien innerhalb und unterhalb dieses Ordners angewendet

Publisher
- Eine signierte Referenzdatei kann angegeben werden, die als Referenz für die Regel verwendet werden kann
- Mit dem Schieberegler Publisher Info, kann der Grad der Eigenschaftsübereinstimmung eingestellt werden
- Use custom values
  - Nach Aktivierung können die Felder manuell befüllt werden

Hash
- Eingabe einer Datei oder eines Ordners, der als Referenz Hash Wert gelten soll

Self-Elevation

Mit Self-Elevation kann die Privilege Elevation für bestimmte Benutzer automatisiert werden, ohne dass die genauen ausführbaren Dateien vorher angegeben werden müssen.

Diese Benutzer können die Self-Elevation für jede beliebige Datei anfordern, indem einfach mit der rechten Maustaste auf die Datei geklickt wird und dann im folgenden Kontextmenü die Option Mit Administratorrechten ausführen ausgewählt wird.

Danach erscheint eine Eingabeaufforderung, in der der Benutzer aufgefordert wird, einen Grund für die Freigabe anzugeben. Der WEM Agent prüft den Grund nicht! Der Grund für die Self-Elevation wird zu Prüfzwecken in der Datenbank gespeichert.

Wenn die Kriterien erfüllt sind, wird die Self-Elevation angewendet, und die Dateien werden erfolgreich mit Administratorrechten ausgeführt.

Die Self-Elevation gilt für Dateien mit den folgenden Formaten: .exe, .msi, .bat, .cmd, .ps1 und .vbs.

Alle Einstellungen müssen mit Apply bestätigt werden.

Enable Self-Elevation
- Aktiviert den Agent für die Verarbeitung von Einstellungen zur Self-Elevation
- Andere Optionen auf der Registerkarte Self-Elevation werden verfügbar gemacht
- Die Option Mit Administratorrechten ausführen wird im Kontextmenü verfügbar gemacht, wenn Benutzer mit der rechten Maustaste auf eine Datei klicken
Permissions
- Ermöglicht die Erstellung von Allow oder Deny Listen für Dateien, die von Benutzern per Self-Elevation gestartet werden dürfen oder nicht
- Allow
  - Erstellt Allow Liste für Dateien, die den Benutzern Self-Elevation erlauben
- Deny
  - Erstellt eine Deny Liste für Dateien, bei dem die Benutzer kein Self-Elevation ausführen dürfen
Add Condition
- Es können per Path, Hash oder Publisher Dateien zu der Allow oder Deny Liste hinzugefügt werden

Start Time
- Angabe einer Zeit, zu der die Agenten mit der Anwendung der Regel beginnen sollen
- Das Zeitformat ist HH:MM
- Die Zeit basiert auf der Zeitzone des Agents
End Time
- Zeitangabe zu der die Agenten die Anwendung der Regel beenden sollen
- Das Zeitformat ist HH:MM
- Ab dem angegebenen Zeitpunkt wenden die Agenten die Regel nicht mehr an
- Die Zeit basiert auf der Zeitzone des Agents
Add Parameter
- Ermöglicht die Beschränkung des Privilege Elevation Features auf ausführbare Dateien, die dem angegebenen Parameter entsprechen
- Enable Regular Expressions
  - Sollen Regular Expressions verwendet werden, um das Kriterium zu erweitern
Apply to Child Processes
- Die Regel wird auf alle Child Prozesse angewendet, die die ausführbare Datei startet
Assignments
- Es können die üblichen Windows Auswahltasten verwendet werden, um eine Mehrfachauswahl zu treffen oder es werden alle Objekte über Select All ausgewählt
- Die Benutzer müssen sich bereits in der Liste der Workspace Environment Management Users (aus Active Directory Objects) befinden

Process Hierarchy Control

Die Funktion Process Hierarchy Control steuert, ob bestimmte Child Prozesse von ihren Parent Prozessen in Parent-Child-Szenarien gestartet werden können. Es werden Regeln erstellt, indem die übergeordneten Prozesse definiert und dann eine Allow oder Deny Liste für deren untergeordnete Prozesse erstellt wird.

Enable Process Hierarchy Control
- Steuert, ob die Funktion Process Hierarchy Control aktiviert werden soll
- Es werden die anderen Optionen auf der Registerkarte Process Hierarchy Control verfügbar und die dort konfigurierten Einstellungen können wirksam werden
- Diese Funktion ist nur in einer Citrix Virtual Apps Umgebung verfügbar
Hide Open With from Context Menu
- Die Option Open With from Context Menu der rechten Maustaste wird angezeigt oder ausgeblendet
- Wenn Option aktiviert ist, wird die Menüoption in der Benutzeroberfläche ausgeblendet
- Wenn deaktiviert, ist die Option sichtbar und Benutzer können hiermit einen Prozess starten
- Die Funktion Process Hierarchy Control gilt nicht für Prozesse, die über die Option „Öffnen mit“ gestartet werden
- Es wird empfohlen, diese Einstellung zu aktivieren, um zu verhindern, dass Anwendungen über Systemdienste Prozesse starten, die keinen Bezug zur aktuellen Anwendungshierarchie haben

Über Edit können die vorhandenen Rules editiert und über Delete einzelne markierte Regeln gelöscht werden.

Über Add Rule können neue manuelle Regeln erstellt werden.

Name
- Der Anzeigename der Regel, wie er in der Liste erscheint
Description
- Zusätzliche Informationen über die Ressource
Type
- Path
  - Die Regel kann mit einem Dateipfad definiert werden
- Publisher
  - Die Regel kann mit einem Publisher definiert werden
- Hash
  - Es kann ein Hash Wert hinterlegt werden
Add Child Processes to Block List
- Es kann eine Block List für entsprechende untergeordnete Prozesse definiert werden, nachdem eine Regel für deren übergeordnete Prozesse konfiguriert wurden
- Eine Block List verbietet nur die Ausführung der angegebenen Prozesse, während andere Prozesse ausgeführt werden dürfen
Add Child Processes to Allow List
- Es kann nach der Konfiguration einer Regel für die übergeordneten Prozesse eine Allow List für die entsprechenden untergeordneten Prozesse definiert werden
- Eine Allow List erlaubt nur die Ausführung der angegebenen Prozesse, während andere Prozesse nicht ausgeführt werden dürfen
Set Priority
- Die Priorität bestimmt die Reihenfolge, in der die konfigurierten Regeln abgearbeitet werden
- Je größer der Wert ist, desto höher ist die Priorität
- Im Falle eines Konflikts hat die Regel mit der höheren Priorität Vorrang
Assignments
- Es können die üblichen Windows Auswahltasten verwendet werden, um eine Mehrfachauswahl zu treffen oder es werden alle Objekte über Select All ausgewählt
- Die Benutzer müssen sich bereits in der Liste der Workspace Environment Management Users (aus Active Directory Objects) befinden

Path
- Eingabe eines Dateipfad oder eines Ordnerpfad, auf den die Regel zutreffen soll
- Wenn ein Ordner ausgewählt wird, wird die Regel auf alle Dateien innerhalb und unterhalb dieses Ordners angewendet

Publisher
- Eine signierte Referenzdatei kann angegeben werden, die als Referenz für die Regel verwendet werden kann
- Mit dem Schieberegler Publisher Info, kann der Grad der Eigenschaftsübereinstimmung eingestellt werden
- Use custom values
  - Nach Aktivierung können die Felder manuell befüllt werden

Hash
- Eingabe einer Datei oder eines Ordners, der als Referenz Hash Wert gelten soll

Exception
- Hinzunahme von gewünschten Ausnahmen
- Unter Add Exception kann der Typ ausgewählt werden

Links zu den anderen Teilen

WEM Administration Console – Teil 1 (Actions, Filters & Assignments)

WEM Administration Console Version 1906 – Teil 3 (Active Directory Objects, Transformer Settings und Advanced Settings)

WEM Administration Console Version 1906 – Teil 4 (Administration & Monitoring)

System Optimization

CPU Management

CPU Management Settings

CPU Priority

CPU Affinity

CPU Clamping

Memory Management

Memory Management

Memory Usage Limit

I/O Management

Fast Logoff

Citrix Optimizer

Multi-session Optimization

Policies and Profiles

Environmental Settings

Start Menu

Desktop

Windows Explorer

Control Panel

Known Folders Management

SBC/ HVD Tuning

Microsoft USV Settings

Roaming Profiles Configuration

ROAMING PROFILES ADVANCED CONFIGURATION

Profile Cleansing

Folder Redirection

Citrix Profile Management Settings

Main Citrix Profile Management Settings

Profile Container Settings

Profile Handling

Advanced Settings

Log Settings

Registry

File System

Synchronization

Streamed User Profiles

Cross-Platform Settings

Security

Application Security

Import AppLocker Rules

Rule enforcement

Executable Rules

Add Rule

Windows Rules

Add Rule

Scripts Rules

Add Rule

Packaged Rules

Add Rule

DLL Rules

Add Rule

Process Management

Process Management

Process BlackList

Process WhiteList

Privilege Elevation

Executable Rules

Add Rule

Windows Installer Rules

Add Rule

Self-Elevation

Process Hierarchy Control

Links zu den anderen Teilen

Teilen mit:

Gefällt mir:

Related posts:

Schreibe einen Kommentar Antworten abbrechen