WEM Administration Console Version 1906 – Teil 2 (System Optimization, Policies & Profiles und Security)

Aktualisierung des Artikels auf die Workspace Environment Management Version 1906.

Nun geht es weiter mit dem zweiten Teil der Serie über die WEM Administration Console. Hier gebe ich einen Einblick in die Menüpunkte System Optimization, Policies & Profiles und Security.

System Optimization

Diese Einstellungen dienen dazu, die Ressourcen Nutzung auf dem Host zu verringern. Sie dienen dazu, dass Ressourcen freigegeben werden und für andere Anwendungen verfügbar sind, hierdurch wird die Benutzerdichte pro Host erhöht. Die System Optimization ist Maschinen basierend.

Wenn Ihre virtuellen Maschinen unterschiedliche Hardwarekonfigurationen haben, sollten Sie mehrere Configuration Sets für sie erstellen und die System Optimization Einstellungen für jeden Configuration Set unterschiedlich konfigurieren. Maschinen können nur zu einem Configuration Set gehören.

Alle Einstellungen müssen auf der jeweiligen Registerkarte mit Apply bestätigt werden.

CPU Management

Prozesse können über alle Cores laufen und können so viel CPU beanspruchen, wie sie möchten. In Workspace Environment Management können Sie mithilfe des CPU Management festlegen, wie viel CPU-Kapazität von einzelnen Prozessen verwendet werden können.

CPU Management Settings

• Enable CPU Spikes Protection
  • Wenn ein einzelner Prozess eine konfigurierbare Schwelle (CPU Usage Limit) für eine bestimmte Zeit (Limit Sample Time) erreicht, verringert WEM automatisch die Priorität des Prozesses für eine definierte Zeit (Idle Priority Time).
  • Wenn mehrere einzelne Prozesse zusammen den angegebenen Schwellenwert überschreiten, wird die CPU Spikes Protection nicht aktiviert, sie wird nur aktiviert wen eine einzelne Prozessinstanz den Schwellenwert überschreitet.
  • Die CPU Spikes Protection ist nicht dafür ausgelegt, die allgemeine CPU-Auslastung zu reduzieren. Es soll die Auswirkungen auf die Benutzererfahrung durch Prozesse reduzieren, die einen übermäßigen Prozentsatz der CPU-Auslastung beanspruchen.
  • Beachten Sie, dass der Prozess nicht wie bei CPU Clamping gedrosselt wird. Nur die Priorität wird reduziert.

• CPU Usage Limit (%)
  • Legt fest, wie viel Prozent der CPU ein Prozess verwenden kann, bevor die Priorität herabgesetzt wird.
  • Grundregel für die Berechnung des Wertes lautet, nehme 100%, dividiere es durch die Anzahl der CPUs und ziehe 1 ab. Dadurch wird verhindert, dass ein einzelner Prozess eine CPU komplett auslastet.

Beispiel:

CPU Usage Limit = ( 100% / <NumCPUs> ) – 1

Für einen 4 Core XenApp Server:
( 100% / 4 ) – 1 = 24%

Für eine 2 Core VDI Maschine:
( 100% / 2 ) – 1 = 49%

• Limit Sample Time (s)
  • Legt fest, wie lange ein Prozess in Sekunden die CPU Usage Limit überschreiten kann, bevor die Priorität herabgesetzt wird, was im Vergleich zu CPU Clamping ein weniger aggressiver Ansatz ist.

• Idle Priority Time (s)
  • Definiert die Zeit in Sekunden, für die eine Prozesspriorität herabgesetzt wird, bevor sie zu ihrer vorherigen Priorität zurückkehrt.

• Limit CPU / Core usage
  • Mit dieser Einstellung können Sie den Prozess auf eine bestimmte Anzahl von Cores beschränken (Anzahl der logischen Prozessoren in der VM, nicht in der zugrunde liegenden physischen Hardware), sobald die CPU Spikes Protection durch erreichen des Schwellwertes ausgelöst wird.

• Enable Intelligent CPU Optimization
  • Durch diese Einstellung werden Prozesse, die ein Benutzer in seiner Sitzung startet, initial mit einer CPU-Priorität von Hoch festgelegt.Immer wenn ein bestimmter Prozess die Spikes Protection auslöst, wird das Ereignis in der lokalen Datenbank des Agenten aufgezeichnet (Für jeden Benutzer separat).Desto öfters ein Prozess die Spikes Protection auslöst, desto niedriger wird die Priorität des Prozesses beim nächsten Start des selben Benutzer festgelegt.

Zum Beispiel:

Startet User 1 zum ersten mal den Internet Explorer, wird WEM dem Prozess iexplore von User 1 initial die Priorität Hoch zuweisen.

Wenn Internet Explorer wiederholt die Spikes Protection auslöst, führt WEM den Prozess beim nächsten Start des Users mit der nächst niedrigeren CPU-Priorität aus, z.B. Above Normal.

Wenn der Prozess weiterhin die Spikes Protection auslöst, wird er mit der nächst niedrigeren Priorität gestartet, bis er schließlich mit der niedrigsten Priorität startet.

Beachtet, dass Prioritäten für Prozesse, die auf der Registerkarte CPU Priority festgelegt wurden, die Funktion Intelligent CPU Optimization überschreiben.

• Enable Intelligent IO Optimization
  • Dies funktioniert genauso wie die CPU Optimization, jedoch für I/O (Verringern der Priorität nach Auslösung der Spikes Protection).

• Exclude specified processes
  • Ermöglicht das Ausschließen bestimmter Prozesse von der Spikes Protection.
  • Die CPU-Verwaltung schließt standardmäßig die meisten gängigen Citrix- und Windows-Core Prozesse aus.
  • Sie können hier festlegen, dass Antivirus-Prozesse ausgeschlossen werden sollen. Geben Sie diesen Prozessen jedoch eine niedrige I/O-Priorität, um zu vermeiden, dass zu viel Festplatten-I/O verbraucht wird.
  • Sie geben einen Prozessnamen so ein, wie er im Task-Manager zu finden ist, jedoch ohne die Erweiterung explorer anstelle von explorer.exe.
  • Wenn ein Prozess durch Spikes Protection reguliert wird, generiert WEM unter „Application and Service Logs / Norskale Agent Service“ einen Eintrag, der den betroffenen Prozess angibt.

CPU Priority

Auf der Registerkarte CPU Priority können Sie Prozesse angeben, z.B. explorer.exe, und eine Standard Priorität zuweisen, die dem Prozess mehr oder weniger CPU Zeit erlaubt. Einen Prozess die Priorität Realtime zuzuweisen wird nicht empfohlen.

Wenn Sie einem Prozess, z.B. explorer.exe, die Priorität Normal zuweisen, beginnt der Prozess mit dieser Prioritätsstufe und fällt nie auf eine niedrigere Priorität zurück, jedoch kann er mit einer höheren Priorität ausgeführt werden.

CPU Affinity

Auf der Registerkarte CPU Affinity können Sie die CPU Belegung für Prozesse festlegen. Dies bestimmt, wie viele logische CPU-Kerne ein Prozess verwendet.

Sie können zum Beipiel explorer.exe so konfigurieren das es 2 Cores verwendet.

CPU Clamping

CPU Clamping hindert Prozesse daran, mehr als einen vorher konfigurierbaren Prozentsatz Leistung der CPU zu verbrauchen. WEM drosselt oder klemmt den Prozess ab, wenn die angegebene CPU % erreicht ist. Auf diese Weise können Sie verhindern, dass einzelne Prozesse große Mengen an CPU verbrauchen und so den Host lahm legen.

Um die CPU Auslastung eines problematischen Prozesses niedrig zu halten, ist es dennoch besser, die CPU Spikes Protection, CPU Priority und CPU Affinity zu verwenden.

CPU Clamping ist am besten für die Steuerung von Prozessen reserviert, die sich bekanntermaßen schlecht durch das Ressourcen Management Regeln lassen, jedoch keine Priorität haben. Der vorher konfigurierte Prozentsatz des Clamping bezieht sich auf die Gesamtleistung aller CPUs im Server, nicht auf einen einzelnen darin enthaltenen Core. (Mit anderen Worten: 10% einer Quad-Core-CPU machen 10% der gesamten CPU aus, nicht 10% eines Kerns).

Wenn Workspace Environment Management einen Prozess blockiert, fügt es den Prozess zu seiner Watchlist, die der WEM Client initialisiert, hinzu. Sie können überprüfen, ob ein Prozess gedrosselt wurde, indem Sie sich dies anzeigen lassen.

Memory Management

Wenn diese Einstellungen aktiviert sind, berechnet Workspace Environment Management, wie viel RAM ein Prozess verwendet, und wie viel RAM mindestens benötigt wird, ohne dass die Stabilität beeinträchtigt wird. WEM betrachtet die Differenz als zu viel RAM.

Wenn sich der Prozess im Leerlauf befindet (normalerweise wird die Anwendung in die Taskleiste minimiert), gibt WEM den überschüssigen RAM des Prozesses für die Auslagerungsdatei frei und optimiert den Prozess für nachfolgende Startvorgänge. Wenn Anwendungen über die Taskleiste wiederhergestellt werden, werden sie zunächst in ihrem optimierten Status ausgeführt, können jedoch nach Bedarf weiterhin zusätzlichen Arbeitsspeicher beanspruchen.

WEM optimiert alle Anwendungen, die ein Benutzer während seiner Desktopsitzung verwendet. Der gesamte freigegebene Arbeitsspeicher kann für andere Prozesse zur Verfügung gestellt werden. Dies erhöht die Benutzerdichte, indem eine größere Anzahl von Benutzern auf demselben Server unterstützt werden.

Sie können die Working Set Optimization (WSO) aktivieren, wodurch der überschüssige Speicher aus inaktiven Anwendungen entfernt wird, wenn diese für eine bestimmte Zeit nicht verwendet wurden. Prozesse können aus WSO ausgeschloßen werden (Exclude Specified Processes), so das diese Prozesse nicht von WSO beeinflusst werden. Mit der Idle Sample Time, bestimmen wir den Zeitraum den WSO zur Verfügung gestellt bekommt, um die Standard Arbeitsspeicherauslastung und die geringste Menge an Arbeitsspeicher zu berechnen, die ein Prozess benötigt, ohne die Stabilität zu beeinträchtigen.

Ein Beispiel für WSO ist, wenn ein Benutzer Internet Explorer öffnet und mehrere Websites durchsucht. Während dieser Zeit berechnet WSO die Menge des verwendeten RAM plus die geringste erforderliche Menge an RAM. Wenn der Benutzer mit Internet Explorer fertig ist und die prozentuale CPU des Internet Explorer-Prozesses auf den für Idle State Limit festgelegten Wert absinkt, zwingt WEM den Prozess dazu, den zuvor berechneten überschüssigen Arbeitsspeicher freizugeben. Der RAM wird freigegeben, indem er in die Auslagerungsdatei geschrieben wird.

Es ist wichtig, dass Sie den Wert für das Idle State Limit nicht zu hoch einstellen, da Sie nicht möchten, dass WEM den Prozess dazu zwingt, den RAM freizugeben, wenn der Prozess aktiv ist. Der Standardwert ist 1%. Dies bedeutet, dass im vorherigen Beispiel der überschüssige Arbeitsspeicher freigegeben wird, sobald Internet Explorer auf 1% sinkt. Citrix empfiehlt nicht, den Wert auf mehr als 5% einzustellen.

In SBC-Umgebungen ist die Working Set Optimization ein absolutes Muss, da mehr Benutzer auf einen Server passen. In VDI Umgebungen sollte man dies unterlassen, da die Benutzer dort über dedizierte virtuelle Maschinen, mit dedizierten Ressourcen verfügen.

Es gibt viele Umgebungen, insbesondere solche, die über PVS bereit gestellt werden, in denen die Anwendungen Daten in das Page File auslagern. Daher verbleiben die kompletten Anwendungsdaten im RAM. In diesem Fall kann WSO extrem vorteilhaft sein. Idealerweise würden Sie WEM in einer POC-Umgebung modellieren und überwachen, um sie an Ihre speziellen Anforderungen anzupassen.

Die Idle Sample Time sollte auf etwa 10 Minuten reduziert werden (Standardeinstellung ist 30 Minuten).

I/O Management

Im I/O Management Modul können Sie die I/O Priority für Prozesse festlegen. Dies kann nützlich sein, wenn Sie eine stark beanspruchte Festplatte von unnötigen Zugriffen befreien wollen. Diese Funktion funktioniert genauso wie die CPU Priority, jedoch für Netzwerk- und Festplatten-I/O.

Fügen Sie einen Prozessnamen mit seiner Erweiterung hinzu, zum Beispiel explorer.exe, und legen Sie eine I/O Priority fest. Beim nächsten Neustart dieses Prozesses wird die I/O Priority angewendet.

Fast Logoff

Auf der Registerkarte Fast Logoff können Sie eine visuelle schnelle Abmeldung aktivieren. Mit Fast Logoff wird ein Benutzer sofort abgemeldet und im Hintergrund werden die zusätzlichen Abmeldeaufgaben ausgeführt. Dies bedeutet im Wesentlichen, dass der Benutzer sofort getrennt wird und die Abmeldung wie gewohnt im Hintergrund erfolgt. Sie können dies aktivieren und bestimmte Gruppen von der Verarbeitung ausschließen.

Policies and Profiles

Mit diesen Einstellungen können Sie Benutzer-GPOs ersetzen und Benutzerprofile konfigurieren, um die Anmeldung zu beschleunigen.

Alle Einstellungen müssen auf der jeweiligen Registerkarte mit Apply bestätigt werden.

Environmental Settings

Diese Optionen ändern die Environmental Settings des Benutzers. Einige der Optionen werden erst bei der Anmeldung verarbeitet, während andere auch in der Sitzung, mit dem Agent Refresh, aktualisiert werden können.

Start Menu

Diese Optionen ändern das Startmenü und das Erscheinungsbild der Taskleiste des Benutzers.

• Process Environmental Settings
  • Mit dieser Checkbox können Sie festlegen, ob der Agent Environmental Settings verarbeitet. Wenn es nicht aktiviert ist, werden keine Environmental Settings verarbeitet
• Exclude Administrators
  • Wenn aktiviert, werden Environmental Settings für Administratoren nicht verarbeitet, selbst wenn der Agent gestartet wird
• Hide Common Programs
  • Hält das Startmenü frei von Standard Icons aus dem All Users Profil
• Force Logoff Button
  • Legen Sie im Menü Ein/Aus die Option Abmelden als Standardaktion fest
• Turn Off Notification Area Cleanup
  • Der Taskleisten Benachrichtigungsbereich wird keine Benachrichtigungen ausblenden und alle anzeigen
• Turn Off Personalized Menus
  • Blendet die Personalized Menus aus, die oben an das Start Menü angeheftet werden und die zuletzt verwendeten Elemente enthält
• Clear Recent Programs List
  • Löscht den Verlauf der zuletzt geöffneten Dokumente beim Abmelden

Mit den anderen selbsterklärenden Optionen können Sie Menü Schaltflächen im Startmenü oder in der Taskleiste ausblenden oder entfernen.

Auf anderen Betriebssystemen als Windows 7, funktionieren die Optionen unter User Interface: Start Menu möglicherweise nicht, außer Hide System Clock und Hide Turnoff Computer.

Mit den User Interface: Appearance Einstellungen können Sie das Windows-Design und den Desktop (Hintergrundfarbe, Hintergrundbild usw.) des Benutzers anpassen. Pfade zu Ressourcen müssen aus der Sicht des Benutzers eingegeben werden.

Desktop

Mit User Interface: Desktop steuern Sie, welche Desktop-Elemente und Eigenschaften vom Agenten deaktiviert werden (für alle unterstützten Betriebssysteme).

Über User Interface: Edge UI können Sie Aspekte der Windows 8.x Edge-Benutzeroberfläche deaktivieren.

Windows Explorer

Mit User Interface: Explorer steuern Sie verschiedene Aspekte des Windows-Explorers und verhindern z.B. den Zugriff auf Regedit und Cmd.

Seien Sie vorsichtig mit den Optionen Disable Silent Regedit und Disable Cmd Scripts. Dadurch wird nämlich auch verhindert, dass Anmeldeskripts und Registry-Hacks außerhalb von WEM ausgeführt werden können.

In Drives Restrictions haben Sie zwei Optionen für das verbergen von Laufwerken.

• Hide Specified Drives
  • Die aufgelisteten Laufwerke werden im Arbeitsplatz des Benutzers ausgeblendet. Sie sind weiterhin zugänglich, wenn Sie direkt zu ihnen navigieren.
• Restrict Specified Drives
  • Die aufgeführten Laufwerke sind ausgeblendet und gesperrt. Weder der Benutzer noch seine Anwendungen können auf sie zugreifen.

Control Panel

Die Option Hide Control Panel ist standardmäßig aktiviert, um die Benutzerumgebung abzusichern.

Mit Show / Hide only specified Control Panel Applets definieren Sie die Control Panel Elemente, die für den Benutzer ausgeblendet/eingeblendet werden.

Zusätzliche Applets können mit ihrem kanonischen Namen zu der jeweiligen Liste hinzugefügt werden.

Applet Name	Canonical Name
Action Center	Microsoft.ActionCenter
Administrative Tools	Microsoft.AdministrativeTools
AutoPlay	Microsoft.AutoPlay
Biometric Devices	Micrsosoft.BiometricDevices
BitLocker Drive Encryption	Microsoft.BitLockerDriveEncryption
Color Management	Microsoft.ColorManagement
Credential Manager	Microsoft.CredentialManager
Date and Time	Microsoft.DateAndTime
Default Programs	Microsoft.DefaultPrograms
Device Manager	Microsoft.DeviceManager
Devices and Printers	Microsoft.DevicesAndPrinters
Display	Microsoft.Display
Ease of Access Center	Microsoft.EaseOfAccessCenter
Family Safety	Microsoft.ParentalControls
File History	Microsoft.FileHistory
Folder Options	Microsoft.FolderOptions
Fonts	Microsoft.Fonts
HomeGroup	Microsoft.HomeGroup
Indexing Options	Microsoft.IndexingOptions
Infrared	Microsoft.Infrared
Internet Options	Microsoft.InternetOptions
iSCSI Initiator	Microsoft.iSCSIInitiator
iSNS Server	Microsoft.iSNSServer
Keyboard	Microsoft.Keyboard
Language	Microsoft.Language
Location Settings	Microsoft.LocationSettings
Mail	Mail
Mouse	Microsoft.Mouse
MPIOConfiguration	Microsoft.MPIOConfiguration
Network and Sharing Center	Microsoft.NetworkAndSharingCenter
Notification Area Icons	Microsoft.NotificationAreaIcons
Pen and Touch	Microsoft.PenAndTouch
Personalization	Microsoft.Personalization
Phone and Modem	Microsoft.PhoneAndModem
Power Options	Microsoft.PowerOptions
Programs and Features	Microsoft.ProgramsAndFeatures
Recovery	Microsoft.Recovery
Region	Microsoft.RegionAndLanguage
RemoteApp and Desktop Connections	Microsoft.RemoteAppAndDesktopConnections
Sound	Microsoft.Sound
Speech Recognition	Microsoft.SpeechRecognition
Storage Spaces	Microsoft.StorageSpaces
Sync Center	Microsoft.SyncCenter
System	Microsoft.System
Tablet PC Settings	Microsoft.TabletPCSettings
Taskbar and Navigation	Microsoft.Taskbar
Troubleshooting	Microsoft.Troubleshooting
TSAppInstall	Microsoft.TSAppInstall
User Accounts	Microsoft.UserAccounts
Windows Anytime Upgrade	Microsoft.WindowsAnytimeUpgrade
Windows Defender	Microsoft.WindowsDefender
Windows Firewall	Microsoft.WindowsFirewall
Windows Mobility Center	Microsoft.MobilityCenter
Windows To Go	Microsoft.PortableWorkspaceCreator
Windows Update	Microsoft.WindowsUpdate
Work Folders	Microsoft.WorkFolders

Known Folders Management

Verhindert die Erstellung der angegebenen Ordner des Benutzerprofils bei der Profilerstellung.

SBC/ HVD Tuning

Mit SBC / HVD Tuning können Sie verschiedene Optionen für die Optimierung der Leistung bei Verwendung von Sitzungshosts wie Virtual Apps oder SharedDesktops aktivieren.

Einige der Optionen dienen der Leistungssteigerung, können jedoch die Benutzererfahrung etwas beeinträchtigen.

Microsoft USV Settings

Mit den Microsoft USV Settings können Sie WEM für die Konfiguration der Microsoft Roaming Profile und Folder Redirection nutzen.

Roaming Profiles Configuration

Wenn die Checkbox Process User State Virtualization Configuration deaktiviert ist, werden keine USV-Einstellungen (Roaming-Profil oder Folder Redirection) verarbeitet.

Wenn die Option aktiviert ist, können Sie mit den Optionen dadrunter ihr Roaming Profil und Ihr RDS Home Laufwerk definieren.

Roaming Profiles Advanced Configuration

Wenn Enable Folder Exclusion aktiviert ist, sind die aufgelisteten Ordner nicht im servergespeicherten Profil eines Benutzers enthalten.

Auf diese Weise können Sie bestimmte Ordner in ihrem Roaming Profile ausschließen, von denen bekannt ist, dass sie große Datenmengen enthalten, die der Benutzer als Teil seines servergespeicherten Profils nicht benötigt.

Die Liste ist mit den Standardausschlüssen von Windows 7 vorgefüllt und kann auch noch  mit den Standardausschlüssen von Windows XP aufgefüllt werden.

Die anderen Checkboxen sind selbsterklärend.

Profile Cleansing

Die Schaltfläche Profile Cleansing öffnet einen Assistenten, mit dem Sie vorhandene Profile anhand der Ordnerausschluss Einstellungen bereinigen können.

Folder Redirection

Die Checkbox Process Folder Redirection Configuration muss aktiviert sein oder der Agent verarbeitet keine Folder Redirection.

Wählen Sie hier die Optionen für die einzelnen Ordner aus, um zu steuern, ob und wohin die Ordner des Benutzers umgeleitet werden.

Wenn Delete Local Redirected Folders aktiviert ist, löscht der Agent die lokalen Kopien der umgeleiteten Ordner.

Citrix Profile Management Settings

Workspace Environment Management unterstützt die Funktionen der Version 1903 von Citrix Profile Management.

Main Citrix Profile Management Settings

Wenn Sie die Checkbox Enable Profile Management Configuration aktivieren, werden die Profileinstellungen verarbeitet. Die übrigen Checkboxen (Set path to user store, Enable active write back usw.) werden wie bei den anderen UPM Konfiguration Methoden (GPO/Citrix Studio) festgelegt.

Profile Handling

Diese Einstellungen steuern die Profile Handling Einstellungen. Zum Beispiel das löschen des lokal gepeicherten Profiles usw.

Advanced Settings

Diese Optionen dienen der erweiterten UPM Konfiguration (z.B. Anzahl Wiederholungen bei gesperrten Dateien im Profile). 

In der WEM Version 1808 ist endlich das UPM Feature Enable search index roaming for Microsoft Outlook users hinzugekommen. Wenn dies aktiviert ist, werden die benutzerspezifische Microsoft Outlook Offline Ordnerdateien (* .ost) und die Microsoft Suchdatenbank zusammen mit dem Benutzerprofil bereit gestellt. Dies verbessert die Benutzererfahrung beim Durchsuchen von E-Mails in Microsoft Outlook.

Log Settings

Diese Optionen steuern die Log Settings der Profilverwaltung.

Registry

Hiermit steuern Sie die Registry Einstellungen des Profile Management.

Wenn NTUSER.DAT Backup ausgewählt ist, verwaltet das Profile Management die letzte bekannte Sicherung der NTUSER.DAT. Wenn der UPM Agent eine Beschädigung feststellt, verwendet es die letzte bekannte Sicherungskopie, um das Profil wiederherzustellen.

Enable Default Exclusion List ist eine Standardliste von Registry Keys aus der HKCU-Struktur. Wenn diese Option ausgewählt ist, werden die in dieser Liste ausgewählten Registry Keys zwangsweise von UPM ausgeschlossen.

File System

Durch die Aktivierung des Enable Logon Exclusion Check wird festgelegt, was UPM bei der Anmeldung eines Benutzers mit den Profiledateien macht, wenn das Profil im Benutzerspeicher ausgeschlossene Dateien oder Ordner enthält. (Wenn deaktiviert, lautet das Standardverhalten Ausgeschlossene Dateien und Ordner synchronisieren). Sie können aus den folgenden Optionen auswählen:

• Synchronize excluded files or folders (default)
  • UPM synchronisiert diese ausgeschlossenen Dateien und Ordner aus dem Benutzerspeicher mit dem lokalen Profil, wenn sich ein Benutzer anmeldet.
• Ignore excluded files or folders
  • UPM ignoriert die ausgeschlossenen Dateien und Ordner im Benutzerspeicher, wenn sich ein Benutzer anmeldet.
• Delete excluded files or folder
  • UPM löscht die ausgeschlossenen Dateien und Ordner im Benutzerspeicher, wenn sich ein Benutzer anmeldet.

Enable File / Folder Exclusion aktiviert, dass die aufgelisteten Dateien nicht im Profile des Benutzers enthalten sind. Pfade in dieser Liste müssen relativ zum Benutzerprofil sein.

Synchronisation

Mit Enable Directory / File Synchronization erweitern Sie das Benutzerprofil mit den aufgelisteten Ordnern und Dateien. Pfade in dieser Liste müssen relativ zum Benutzerprofil sein. Wildcards können verwendet werden, sind aber nur für Dateinamen zulässig.

Aktiviere Enable Folder Mirroring und die aufgelisteten Ordner werden in den Profilspeicher gespiegelt. So wird sichergestellt, dass Benutzer immer die aktuellsten Versionen dieser Ordner erhalten. Durch das Spiegeln von Ordnern kann die Profilverwaltung einen Transaktionsordner und seinen Inhalt als eine Einheit verarbeiten, wodurch das Aufblähen des Profils vermieden wird.

Beachten Sie, dass in diesen Situationen der „letzte Schreibvorgang gewinnt“, sodass Dateien in gespiegelten Ordnern, die in mehr als einer Sitzung geändert wurden, durch die letzte Aktualisierung überschrieben werden, wodurch Profiländerungen verloren gehen können.

Eine neue Option mit WEM 1808 ist das UPM Feature Large File Handling. Große Dateien, die in einem Profil vorhanden sind, sind ein häufiger Grund für eine langsame An- oder Abmeldung. Citrix bietet eine Option zum Umleiten großer Dateien (als symbolische Links) in den Benutzerspeicher.

Diese Option macht die Synchronisierung dieser Dateien über das Netzwerk überflüssig. Sie können Wildcards in Richtlinien verwenden, die sich auf Dateien beziehen.

Beispiel:

Stellen Sie sicher, dass diese Dateien nicht zur Ausschlussliste von Citrix Profile Management hinzugefügt werden.

Einige Anwendungen erlauben keinen gleichzeitigen Dateizugriff. Citrix empfiehlt, dass Sie das Anwendungsverhalten berücksichtigen, wenn Sie Ihre Richtlinie zur Behandlung großer Dateien definieren.

Streamed User Profiles

Mit der Funktion Streamed User Profiles werden Dateien und Ordner, die in einem Profil enthalten sind, nur dann vom Benutzerspeicher auf den lokalen Computer geholt, wenn sie von Benutzern nach der Anmeldung aufgerufen werden.

Registrierungseinträge und alle Dateien in der pending area werden sofort abgerufen.

Cross-Platform Settings

Diese Einstellung aktiviert oder deaktiviert die Funktion Cross-Platform Settings, mit der Sie die Benutzerprofile migrieren können, wenn sich ein Benutzer mit derselben Anwendung verbindet, die auf mehreren Betriebssystemen läuft.

• Cross-Platform Settings im Profilmanagement funktionieren mit einer Reihe von unterstützten Betriebssystemen (OSs) und Anwendungen.
• Konfigurieren Sie diese Funktion nur in einer Produktionsumgebung.
• Microsoft Office-Einstellungen werden nicht zwischen Versionen dieser Anwendung ausgetauscht.
• Diese Funktion ist für Registrierungs- und Anwendungseinstellungen geeignet.
• Dies gilt nicht für Dateien oder Ordner oder Objekte, die typischerweise mit Ordnerumleitung verwendet werden (z.B. Browser-Favoriten, Desktop- und Startmenüeinstellungen).
• Wenn Sie mit dieser Funktion Benutzerprofile zwischen Systemen mit unterschiedlichen Profilversionen migrieren, deaktivieren Sie diese nach Abschluss der Migration für alle Benutzer.
• Bei der Verwendung dieser Funktion ergeben sich einige Auswirkungen auf die Leistung, vor allem bei Abmeldungen. Daher ist es am besten, es deaktiviert zu lassen, es sei denn, Sie unterstützen das Roaming zwischen den Profilversionen.

VMware Persona Settings

Diese Einstellungen steuern die Integration von VMware Persona in WEM. Bitte beachten Sie, dass einige Optionen nur mit bestimmten Versionen von View Persona funktionieren. In der entsprechenden VMware Dokumentation finden Sie detaillierte Anweisungen.

Diese Einstellungen werden mit den neueren Versionen von WEM nicht mehr angeboten.

Security

Mit den Security Einstellungen steuern Sie z.B. welche Anwendungen Benutzer ausführen dürfen. Diese Funktionalität ähnelt Windows AppLocker.

Wenn Sie mit Workspace Environment Management bestehende Windows AppLocker-Regeln verwalten, werden die Regeln in die Registerkarte Application Security importiert.

Wenn Sie die Verarbeitungsregeln des Agenten stoppen, bleiben sie im Konfigurationssatz erhalten und AppLocker fährt mit dem letzten vom Agenten verarbeiteten Befehlssatz fort.

Application Security

Wenn Sie auf der Registerkarte Security das Element Application Security auswählen, stehen die folgenden Optionen zur Aktivierung oder Deaktivierung der Regel Verarbeitung zur Verfügung:

• Process Application Security Rules
  • Wenn diese Option ausgewählt ist, sind die Steuerelemente der Registerkarte Application Security aktiviert, und der Agent verarbeitet Regeln des aktuellen Configuration Sets und konvertiert sie in AppLocker-Regeln auf dem Host.
  • Wenn diese Option nicht ausgewählt ist, sind die Steuerelemente der Registerkarte Application Security deaktiviert und der Agent verarbeitet keine Regeln. (In diesem Fall werden AppLocker-Regeln nicht aktualisiert und die letzten Anweisungen, die vom Agenten verarbeitet wurden, sind noch aktiv.)
  • Diese Option sind nicht verfügbar, wenn die WEM Administration Console unter Windows 7 SP1 oder Windows Server 2008 R2 SP1 (oder früheren Versionen) installiert ist.

• Process DLL Rules
  • Wenn diese Option ausgewählt ist, verarbeitet der WEM Agent DLL-Regeln des aktuellen Configuration Sets und konvertiert diese in AppLocker-DLL-Regeln auf dem Host. Diese Option ist nur verfügbar, wenn Process Application Security aktiviert ist.
  • Wenn Sie DLL-Regeln verwenden wollen, sollten Sie vorher DLL-Regeln, mit der Berechtigung Allow, für alle DLLs erstellen, die von erlaubten Applikationen verwendet werden.
  • Wenn Sie DLL-Regeln verwenden, kann die User Experience der Benutzer beeinträchtigt werden. Dies geschieht, weil AppLocker jede DLL überprüft, die eine App lädt, bevor sie ausgeführt werden darf.

Rule Collections

Die WEM Application Security Regeln gehören zur AppLocker Regelsammlung. Jeder Sammlungsname im Menü gibt an, wie viele aktive Regeln er enthält, z.B. Executable Rules (3). Klicken Sie auf einen Sammlungsnamen, um die Regelliste nach einer der folgenden Sammlungen zu filtern:

• Executable Rules
  • Regeln die einer Anwendung zugeordnet sind und die Erweiterungen .exe und .com enthalten.
• Windows Rules
  • Regeln die Installationsdateiformate (.msi, .msp, .mst) enthalten und die Installation von Dateien auf Clientcomputern und Servern steuern.
• Script Rules
  • Regeln die Dateien der folgenden Formate enthalten: .ps1, .bat, .cmd, .vbs, .js.
• Packaged Rules
  • Regeln, die gepackte Apps, auch als Universal Windows-Apps bezeichnet, enthalten. In gepackten Apps haben alle Dateien innerhalb des App-Pakets dieselbe Identität. Daher kann eine Regel die gesamte App steuern. Workspace Environment Management unterstützt nur Publisher-Regeln für gepackte Apps.
• DLL Rules
  • Regeln, die Dateien der folgenden Formate enthalten: .dll, .ocx.

Wenn Sie die Regelliste nach einer Sammlung filtern, steht die Option Rule enforcement zur Verfügung, um zu steuern, wie AppLocker alle Regeln in dieser Sammlung auf dem Agent Host erzwingt. Die folgenden Werte für das durchsetzen von Regeln sind möglich:

• Off (default)
  • Regeln werden erstellt und deaktiviert, d.h. sie werden nicht angewendet.
• On
  • Regeln werden erstellt und aktiviert, d.h. sie sind auf dem Agenten Host aktiv.
• Audit
  • Die Regeln werden erstellt und auf Audit gesetzt, d.h. sie befinden sich in einem inaktiven Zustand auf dem Agenten Host. Windows protokolliert, wenn Dinge gestartet werden, die gegen diese Regeln verstoßen würden.

Am unteren Rand stehen noch verschiedene Actions zur Verfügung. 

• Edit
  • Sie können eine oder mehrere Regeln in der Liste auswählen. Wählen Sie im Editor die Zeilen mit den Benutzern und Benutzergruppen aus, denen Sie die Regel zuordnen möchten. Sie können die ausgewählten Regeln auch von allen Benutzern aufheben, indem Sie Select All auswählen, um alle Auswahlen zu löschen.
  • Wenn Sie mehrere Regeln auswählen, werden alle Regel Änderungen für diese Regeln auf alle von Ihnen ausgewählte Benutzer und Benutzergruppen angewendet. Mit anderen Worten, vorhandene Regelzuweisungen werden in diesen Regeln zusammengeführt.

• Add Default Rules
  • Der Liste werden eine Reihe von AppLocker Standardregeln hinzugefügt.

• Delete
  • Wählen Sie eine oder mehrere Regeln in der Liste aus und löschen Sie sie.

Process Management

Wenn Sie Process Management aktivieren, können Sie bestimmte Prozesse auf die White- oder Blacklist setzen. Sie können lokale Administratoren und/oder bestimmte Gruppen sowohl von der White- als auch von der Blacklist ausschließen. Diese Option funktioniert nur, wenn der Sitzungsagent in der Benutzersitzung ausgeführt wird.

• Process Blacklist
  • Sie können der Blacklist bestimmte Prozesse hinzufügen, die nicht ausgeführt werden sollen. Prozesse müssen über den Namen der ausführbaren Datei hinzugefügt werden (z.B. cmd.exe).

• Process Whitelist
  • Prozesse müssen über den Namen der ausführbaren Datei hinzugefügt werden (z.B. cmd.exe). Wenn aktiviert, alle Prozesse die nicht in der Whitelist enthalten sind, werden automatisch gesperrt

Links zu den anderen Teilen

WEM Administration Console Version 1906 – Teil 1 (Actions, Filters & Assignments)

WEM Administration Console Version 1906 – Teil 3 (Active Directory Objects, Transformer Settings und Advanced Settings)

WEM Administration Console Version 1906 – Teil 4 (Administration & Monitoring)