FSLogix App Masking in Citrix Umgebungen

Was ist App Masking und wofür benötigen wir dies ?

App Masking minimiert die benötigte Anzahl der Golden Images, indem damit in einem einzigen Golden Image, alle Anwendungen installiert werden können. Die Zuordnung und Abgrenzung der Anwendungen (sowie der Drucker, Schriften, Office Add-ins, Internet Explorer plug-ins usw.), erfolgt ohne Paketierung, Sequenzierung, Backend-Infrastruktur oder Virtualisierung. 

FSLogix App Masking

Dies geschieht durch eine granulare Zugriffssteuerung der installierten Anwendungen durch App Masking Rules. Über diese Rules kann, eine Anwendung, in der Benutzer Laufzeit vollständig versteckt werden, sodass diese nicht mehr im File System, Registry oder unter Programme und Features erscheint.

Da bei der Verwendung der Rules keine Rechenleistung vom System benötigt wird, laufen Anwendungen unter ihrer nativen Geschwindigkeit.

Eine weitere Einsatzmöglichkeit von App Masking ist es, die Lizenzierungsbedingungen verschiedener Hersteller zu bedienen. Hier sind Microsoft Visio oder Project gern genommene Beispiele.

Wenn auf einem Citrix Worker Microsoft Visio installiert ist, dann müssen Kunden für jeden potenziellen Benutzer eine Visio Lizenz vorweisen. Um diesem entgegen zu wirken werden sonst die Umgebungen durch Anwendungs Silos (Worker nur für diese eine Anwendung) getrennt, so das nur die Benutzer Zugriff haben, für die auch Lizenzen vorgehalten werden können.

Mit App Masking können wir Visio mit auf dem Golden Master installieren und per App Masking Rules (Lokaler Computername oder Benutzername) so absichern, das Microsoft dies auch in seiner Lizenz Prüfung akzeptiert.

Funktionsweise

Wenn sich ein Benutzer an ein System anmeldet, auf dem der FSLogix Agent installiert ist, überprüft dieser Agent die existierenden Rule Sets im Ordner Compiled Rules. Diesen Rules entsprechend werden die Anwendungen (Registry Einträge, Dateien und Ordner) anhand der definierten Assignments (AD Gruppen, Prozess, Network Location, OU usw.) zugeordnet oder ausgeblendet. Wenn neue Rules oder Assignment Files, in den Ordner Rules hinzugefügt oder gelöscht werden, hat dies eine sofortige Wirkung auf das System.

Diagram FSLogix App Masking

Komponenten

Es müssen folgende Komponenten installiert werden, damit FSLogix App Masking genutzt werden kann.

FSLogix Agent

Der Agent (FSLogixAppsSetup.exe) beinhaltet alle FSLogix Funktionalitäten und verbirgt sich nach der Installation hinter dem Windows Dienst FSLogix Apps Services. Über diesen Dienst wird der Filter Driver (frxdrv.sys) gesteuert, der sowohl für das verstecken der Komponenten bei App Masking, als auch für das Umlenken der Zugriffe beim Profile/Office Container zuständig ist.

Der FSLogix Agent muss auf allen Systemen installiert sein, auf dem App Masking angewendet werden soll (z.B. Golden Master).

FSLogix Apps RuleEditor

Die zweite zu installierende Komponente für App Masking ist der FSLogix Apps RuleEditor (FSLogixAppsRuleEditorSetup.exe). Er dient zur Erstellung der einzelnen Rule Sets und über diesen werden die erstellten Rule Sets per Assignments zugewiesen.

Bei der Erstellung von Rule Sets werden zwei verschiedene Dateien erzeugt (fxr & fxa Endung). Die beiden Files werden standardmäßig im Ordner C:\Users\<Username>\Documents\FSLogix Rule Sets abgespeichert.

fxa fxr files

Der FSLogix Rule File (.fxr) beinhaltet die Konfiguration des Rule Sets. Also welche Registry Einträge, Dateien usw. ausgeblendet werden sollen über den Filter Driver.

Der FSLogix Rule Assignment File (.fxa) beinhaltet die Assignments (AD Gruppe, OU usw.) des jeweiligen Rule Sets.

Damit die Rule Sets vom FSLogix Agent abgearbeitet werden, müssen diese Dateien standardmäßig in den Ordner C:\Program Files\FSLogix\Apps\Rules auf dem Worker kopiert werden.

Der FSLogix Apps RuleEditor muss nicht mit auf den Worker installiert werden. Ich empfehle diesen auf dem zentralen Administrations Rechner oder auf einen Infrastruktur Server zu installieren.

Rule Set Types

Hier kurz dargelegt die verschiedenen Rule Set Types.

Blank Rule Set

Über Blank Rule Set kann ein leeres Rule Set erstellt werden, was dann im Nachgang manuell mit den zu versteckenden Dateien, Ordnern und Registry Einträgen bestückt werden muss.

Rule Set Blank Rule Set  Choose from installed programs

Wie weitere Einträge hinzugefügt werden, erläutere ich im weiteren Verlauf.

FSLogix Apps RuleEditor Blank
Enter Program Files Path

Mit Enter Program Files Path kann der Pfad zur Anwendung gesetzt werden. Nützlich bei Programmen die nicht unter Installed Programs auftauchen, wie z.B. PowerShell. Durch Klick auf Scan wird die Anwendung nun gescannt und die benötigten Einstellungen zum verbergen definiert. Nach der Analyse der Anwendung, kann über Add Another Application eine weitere Anwendung in das Neue Rule Set eingebunden werden.

Enter Program Files Path
Choose from installed programs

Am einfachsten ist die automatische Analyse der Anwendungen über Choose from installed programs. Das Program Installation Directory wird automatisch bei der Auswahl der Anwendung gefüllt. Dies kann über den Button Browse korrigiert werden. Durch Klick auf Scan wird die Anwendung nun gescannt und die benötigten Einstellungen zum Verbergen definiert. Nach der Analyse der Anwendung, kann über Add Another Application eine weitere Anwendung in das neue Rule Set eingebunden werden.

Choose from installed programs

Rule Types

In den Rule Set Types stecken mehrere Rule Types. Wir können vier verschiedene Rule Types in App Masking definieren. Über einen Rechts-Klick auf bestehende Rules oder in den leeren Bereich bei Blank Rule bekommt man das folgende Menü.

New Rule Delete Rule Edit Rule

Die Menüpunkte sind selbsterklärend. Hiermit kann ich bestehende Rule Sets korrigieren oder komplett neue erstellen.

Wildcard & Variablen in Rule Types

Die folgenden Wildcards und Variablen können die Erstellung von Rules erleichtern.

Wildcard (Nur in Source Pfad)

Unter Rule Types kann nur im Source Pfad der Wildcard * verwendet werden, um ein ganzes Pfad Element, wie z.B. den Benutzer Namen, darzustellen.

Source Path

Beispiel: C:\Users\*\AppData\Roaming\Microsoft\Teams\Cache

Variablen (Nur in Destination Pfad)

Die folgenden Variablen können nur im Destination Pfad verwendet werden. Diese Variablen werden mit zwei Unterstrichen vor und nach den Variablennamen gekennzeichnet.

Destination Path
VariableBeschreibung
__USER_SID__Löst die Benutzer SID auf
__USER_NAME__Löst den Benutzernamen auf
__USER_PROFILE_PATH__Löst den Pfad zum Benutzer Profile Ordner auf (z.B. C:\Users\User01)
Environment Variablen

Die folgenden Environment Variablen (Case Sensitive!) können sowohl im Source als auch im Destination Pfad genutzt werden.

Environment Variable

Im RuleEditor ersetzen die Environment Variablen automatisch einen passenden eingetragenen Pfad.

Beispiele:

  • %WindowsFolder%
  • %CommonAppDataFolder%
  • %CommonStartMenuFolder%
  • %CommonFilesFolder32%
  • %ProgramFilesFolder32%
  • %SystemFolder32%
  • %CommonFilesFolder64%
  • %ProgramFilesFolder64%
  • %SystemFolder64%
  • %SystemDriveFolder%

Dies gilt für die folgenden Rule Types.

Hiding Rule

Mit Hiding Rules kann man Dateien, Ordner, Drucker, Schriften, Registry Werte und Keys verbergen. Über Browse wählt man den zu verbergenden Object Type aus oder man definiert unter Object Type, was man verbergen möchte, und trägt es unter Object Name manuell ein. Dies muss man machen, wenn auf dem Server, wo man die Regeln erstellt, die Dateien, Ordner, Drucker usw. nicht vorhanden sind.

Add Rule Hiding Rule

Über Browse verändert sich das Auswahl Fenster je nach Object Type.

File

Hier muss eine einzelne Datei ausgewählt werden.

Hiding Rule Choose File
Directory

Hier muss ein einzelner Ordner ausgewählt werden. Damit werden alle Dateien und Unterordner dadrin mit verborgen.

Hiding Rule Choose Directory
Registry Value

Hier muss ein einzelner Registry Value ausgewählt werden.

Hiding Rule Select Registry Value
Registry Key

Hier muss ein einzelner Registry Key ausgewählt werden. Damit werden alle Sub Keys und Registry Values dadrin mit verborgen.

Hiding Rule Select Registry Key
Printer

Hier muss ein einzelner Drucker aus der Liste der installierten Drucker ausgewählt werden.

Hiding Rule Select Printer
Font

Hier muss eine einzelne Schriftart aus der Liste der installierten Schriften ausgewählt werden.

Hiding Rule Select a Font family
Redirection Rule

Mit Redirection Rules kann man Dateien, Ordner, Registry Werte und Keys umlenken. Über das Ordner Icon wählt man den zu redirecten Quell und Ziel Object Type aus oder man definiert unter Object Type, was man redirecten möchte, und trägt es unter Source und Destination manuell ein. Dies muss man machen, wenn auf dem Server, wo man die Regeln erstellt, die Dateien, Ordner usw. nicht vorhanden sind.

Redirection Rule

Das Feature Copy Object kopiert die vorhandenen Dateien, mit Inhalt, in das Ziel (Wenn der Benutzer hierfür auch im Ziel Berechtigt ist).

Beispiel:
Als Beispiel nehme ich das Starten und Beenden von Teams. In den aufgeführten Screenshots, von links nach rechts, sieht man die Aktivierung der Redirection und Deaktivierung der Redirection. Ich nutze die watchdog.txt Datei, da diese, wenn sie nicht vorhanden ist neu von Teams beim Systemstart erzeugt wird und über die kurze Laufzeit des Tests keine Daten rein geschrieben werden. 

Bei Aktivierung der Redirection mit deaktivierten Copy Object, werden die vorhandenen Dateien nicht mit kopiert. Im Quellordner hat die watchdog.txt Datei eine Größe von 1 KB. Die Datei in dem Zielordner hat nach dem Test eine Größe von 0 KB, da diese neu erstellt wurde.

Deactivate Copy Object

Bei Aktivierung der Redirection mit aktivierten Copy Object, werden die vorhandenen Dateien mit kopiert. Im Quellordner hat die watchdog.txt Datei eine Größe von 1 KB. Die Datei in dem Zielordner hat nach dem Test dieselbe Größe und den gleichen Inhalt, da diese initial umkopiert wurde.

Activate Copy Object

Über das Ordner Icon verändert sich das Auswahl Fenster je nach Object Type bei Source und Destination.

File

Hier muss eine einzelne Datei ausgewählt werden.

Hiding Rule Choose File
Directory

Hier muss ein einzelner Ordner ausgewählt werden. Damit werden alle Dateien und Unterordner dadrin mit verborgen.

Hiding Rule Choose Directory

Beispiel:
In diesem Beispiel lenke ich den Teams Ordner aus dem Profil in einen Ordner direkt auf C:\ um.

Redirection Rule Teams

Hier der Inhalt der Ordner vor dem Test. Im Teams Ordner habe ich einen neuen Ordner mit dem Namen Test erstellt.

Before Test

Nun aktiviere ich das Rule Set über den Knopf Apply Rules to System. Nach der Aktivierung wird das Rule Set, ohne Berücksichtigung der Assignment List aktiviert.

Apply Rules to System

Nun ist der vorher erstellte Test Ordner nicht mehr unter dem Teams Pfad zu sehen, da dieser umgelenkt wurde zum Ziel Ordner. Der Inhalt des Teams Ordner wurde nicht gelöscht!

Activate Rules

Nun wird Teams gestartet und man sieht das sich der Teams Ordner füllt. In Wahrheit werden die Dateien aber im vorher definierten Ziel Ordner abgelegt. Das Programm merkt dies nicht (wie bei Office & Profile Container).

File creation

Nachdem Teams beendet wurde und das Rule Set deaktiviert ist. Sieht man nun im Ziel Ordner die von Teams erstellten Dateien und im Quell Ordner wieder nur den vorher erstellten Test Ordner.

After Test
Registry Value

Hier muss ein einzelner Registry Value ausgewählt werden.

Hiding Rule Select Registry Value
Registry Key

Hier muss ein einzelner Registry Key ausgewählt werden. Damit werden alle Sub Keys und Registry Values dadrin mit verborgen.

Hiding Rule Select Registry Key
App Container (VHD) Rule

Mit App Container Rule kann man Ordner direkt in eine VHD Datei umlenken. Über das Ordner Icon wählt man den Quell Ordner und den Ziel Container aus.

App Container (VHD) Rule
App Container (VHD) Rule Container
Specify Value Rule

Mit Specify Value Rule kann man Registry Werte editieren. Über das Ordner Icon wählt man den Registry Wert aus den man editieren möchte und trägt den neuen Wert unter Data ein.

Specify Value Rule
Specify Value Rule Select Registry Value

Assignment Reihenfolge

Die folgenden Einstellungen müssen pro Assignment Rule Set definiert werden.

Rule Set does apply to user/group wird unter Applies als Yes angezeigt.
Dies bedeutet, dass diese Einstellungen oder Anwendung nicht angezeigt wird für den Benutzer.

Rule Set does not apply to user/group wird unter Applies als No angezeigt.
Dies bedeutet, dass diese Einstellungen oder Anwendung angezeigt wird für den Benutzer.

Die hinzugefügten Assignment Rule Sets werden von oben nach unten abgearbeitet. Dies bedeutet, dass als erstes ein Rule Set definiert werden sollte, was die Anwendung ausblendet (z.B. Everyone) und danach kommen die Freigaben pro Assignment Rule Set.

Processing Sequence Assignment List

Beispiel: Es sind zwei Assignments in dem selben Rule Set hinterlegt. Das erste Assignment für die Gruppe Everyone (Applies mit Yes definiert) und das zweite Rule Set dadrunter gilt für User01 (Applies mit No definiert).

Assignment List Everyone Yes User01 No

In diesem Fall würde das Rule Set (also die Anwendung) für alle außer User01 gelten und daher würde nur User01 die Anwendung sehen.

Tauscht man die Reihenfolge der Assignments Rule Sets, so dass oben das User01 Rule Set steht und danach erst das Assignment bezüglich Everyone definiert ist, würde das zu folgendem führen.

Assignment List User01 No Everyone Yes

Die Einstellungen das User01 die Anwendung angezeigt bekommt, würde durch das Everyone Assignment dadrunter direkt überschrieben werden. Daher würde niemand diese Anwendung angezeigt bekommen.

Assignment Typen

Die folgenden Assignment Möglichkeiten werden angeboten.

Assignments User Group Process Network Location Computer Directory Container Environment Variable
User

Direkte Zuordnung zu Active Directory Benutzer.

AD User

Über den Knopf neben dem Eingabefeld User kommt man zur AD Suche.

Select Users or Groups
Group

Zuordnung zu Active Directory Gruppe. Wird am häufigsten verwendet.

AD Group

Über den Knopf neben dem Eingabefeld Group kommt man zur AD Suche.

Select Groups
Process

Zuordnung zu einem Prozess oder einem Child Prozess des angegebenen Prozesses.

Process
Network Location

Zuordnung zu lokaler IP Adresse des Clients.

Network Location

In meinem Beispiel mein eigener Client zu Hause.

Local ipconfig
Computer

Direkte Zuordnung zu Active Directory Computer Konto.

Computer

Über den Knopf neben dem Eingabefeld Computer kommt man zur AD Suche.

Select Computer or Groups
Directory Container

Zuordnung zu Inhalt der angegebenen Active Directory Organizational Unit.

Directory Container

Über den Knopf (…) neben dem Eingabefeld kommt man zur AD Struktur, um dort die OUs auszuwählen.

Directory Container Dialog
Environment Variable

Zuordnung anhand von Environment Variable. Es werden nur Environment Variable unterstützt die bei der Anmeldung vorhanden sind. Während der Anmeldung gesetzte Environment Variable werden nicht unterstützt.

Environment Variable CLIENTNAME

Aufruf zum testen der Environment Variable direkt auf dem Worker.

%CLIENTNAME%

Die Wildcards ? und * können im Value Feld verwendet werden.

Wildcard

Optional kann über der Knopf From File eine Textdatei ausgewählt werden, die eine Liste von Gerätenamen enthält.

Choose File

In der Datei muss pro Zeile ein Client aufgelistet werden.

Text File

Dann wird für jede Zeile aus der Datei ein Assignment Rule Set erstellt.

Assignments Rule Set CLIENTNAME

Set As Template

Nachdem die Assignment List konfiguriert ist, kann diese Einstellung als Template für neue Rule Sets definiert werden. Hierfür klickt auf Set As Template und alle neuen Assignment Lists werden standardmäßig so aussehen wie die aktuelle.

Save as Template Assignment File

AD Reporting

Über den Knopf AD Reporting, innerhalb der Assignment List oder im Hauptmenü, kann das Assignment des Rule Sets geprüft werden.

FSLogix App Masking AD Reporting
AD Reporting

In dem folgenden Fenster klickt auf New Query um eine Anfrage zu starten.

AD Reporting New Query

Gebt die AD Gruppe oder Benutzer ein, der geprüft werden soll.

Select Users or Groups

Nun kann man das Ergebnis begutachten. Hier wenn die Anwendung angezeigt wird (Applies No).

AD Reporting Applies No

Oder wenn die Anwendung verborgen wird (Applies Yes)

Licensing Report

Über Change Licensing Parameters kann definiert werden, wie viele Tage eine „Lizenz“ einem Gerät zugewiesen wird.

Change Licensing Parameters

Dieser Wert muss für jedes Rule Set einzeln definiert werden oder steht standardmäßig auf 90 Tage.

Licensing Parameters

Mit dem Licensing Report kann man Berichte (PDF) erzeugen um seinen Device-Based Licensing Verbrauch für das Rule Set zu ermitteln.

Licensing Portal

Nach Klick auf Licensing Portal, definiert man im folgenden Fenster den gewünschten Zeitraum des Berichts.

Generate Licensing Report

Daraufhin erhält man den gewünschten Bericht in PDF-Format.

License Report PDF

Lizenzierung

Nun erstmal zur Lizenzierung. Wir dürfen FSLogix Komponenten nutzen, wenn wir eine der folgenden Voraussetzungen erfüllen:

  • Microsoft 365 E3/E5
  • Microsoft 365 A3/A5/ Student Use Benefits
  • Microsoft 365 F1
  • Microsoft 365 Business
  • Windows 10 Enterprise E3/E5
  • Windows 10 Education A3/A5
  • Windows 10 VDA per user
  • Remote Desktop Services (RDS) Client Access License (CAL)
  • Remote Desktop Services (RDS) Subscriber Access License (SAL)

Einrichtung FSLogix Agent

Extract FSLogix
  • Startet den Installer FSLogixAppsSetup auf dem System das später per App Masking reguliert werden soll
Start FSLogixAppsSetup.exe
  • Klickt im folgenden Fenster auf „I agree to the license terms and conditions
Install FSLogix Profile Container Office Container Java Version Control Application Masking
  • Über den Punkt Options kann man den Pfad der Installation anpassen
Setup Options FSLogix Apps Setup
  • Über Install startet ihr die Installation
Setup Progress Processing
  • Nach der Installation könnt ihr im Dienste Menü kontrollieren, das die FSLogix Dienste installiert sind und laufen
FSLogix Apps Services FSLogix Cloud Caching Services

FSLogix Apps Service

  • Service name: frxsvc
  • Description: FSLogix Apps Service Component.
  • Path to executable: „C:\Program Files\FSLogix\Apps\frxsvc.exe“
  • Startup type: Automatic

Einrichtung FSLogix Apps RuleEditor

  • Startet den Installer FSLogixAppsRuleEditorSetup auf dem System das später zum erstellen der Rule Sets dienen soll
Installer FSLogixAppsRuleEditorSetup.exe
  • Klickt im folgenden Fenster auf „I agree to the license terms and conditions
I agree to the license terms and conditions
  • Über den Punkt Options kann man den Pfad der Installation anpassen
Setup Options FSLogix Apps Setup
  • Über Install startet ihr die Installation
Setup Progress Processing
Setup Successful

Konfiguration Rule Sets

  • Startet hierfür den FSLogix Apps RuleEditor als lokalen Administrator
FSLogix Apps RuleEditor
  • Klickt auf das angezeigte Symbol oder auf File > New, um ein neues Rule Set zu erstellen
New Rule Sets
  • Gebt ihm folgenden Fenster den Namen für das neue Rule Set ein und bestätigt dies mit einem Klick auf Enter file name
New Rule Set File
  • Nun kann ausgewählt werden, wie das Rule Set definiert wird
  • In diesem Beispiel wähle ich Choose from installed programs aus
Choose from installed programs
    Durch Klick auf Scan wird die Anwendung nun gescannt und die benötigten Einstellungen zum verbergen definiert.
Scan Complete Add Another Application
  • Nach der Analyse der Anwendung, kann über Add Another Application eine weitere Anwendung in das Neue Rule Set eingebunden werden.
Scan Complete Add Another Application
  • Wenn alle benötigten Anwendungen analysiert worden sind, kann dies mit OK bestätigt werden

Hinweis: Am unteren Ende der Rule Set Anzeige, wird eine Zusammenfassung der Rules angezeigt (hier z.B. 10 Hiding Rules)

FSLogix Rule Set
  • Um den Rule Sets noch ein Assignment zuzuordnen klickt auf das angezeigte Symbol (Ist ausgegraut, wenn kein Rule Set geladen ist) oder auf File > Manage Assignments
 File > Manage Assignments
  • Über Add können weitere Assignments hinzugefügt werden (Everyone ist im Standard schon hinterlegt)
Aggignments Everyone
  • In diesem Beispiel füge ich nur den Benutzer User01 hinzu und ändere seine Einstellung auf Rule Set does not apply to user/group, damit dieser Benutzer die Anwendung sieht
Rule Set does not apply to user/group
  • Nachdem die richtigen Assignments zugeordnet sind, kann dies mit Apply bestätigt werden.

Rule Sets bereitstellen

Um die App Masking Rules nun auf einem Worker zu aktivieren, müssen die erstellten fxr- und fxa-Dateien in den Ordner C:\Program Files\FSLogix\Apps\Rules abgelegt werden.

Deploy Rule Sets

Diese Rule Sets werden automatisch vom Dienst (frxsvc.exe) erkannt und in ein spezielles Format kompiliert, das von den FSLogix Treibern verwendet wird (frxdrv.sys & frxdrvvt.sys). Der Dienst benachrichtigt dann den Treiber über eine Änderung (Erstellung, Löschung oder Aktualisierung von Rule Sets) und der Treiber führt ein Live Update der installierten Rule Sets durch. Die neu kompilierten Rule Set Dateien befinden sich im Ordner C:\Program Files\FSLogix\Apps\CompiledRules.

CompiledRules

Group Policy Preferences

Über GPP kann man diese erstellten Rule Sets, die Zentral abgelegt sind, an einzelnen Worker verteilen.

Group Policy Preferences

Hier wird erst der Inhalt des FsLogix Rules Ordner bereiningt.

GPP Delete

Danach werden die vorhandenen Rule Sets in den Ordner kopiert und durch den Agent verarbeitet.

GPP Update

WEM File System Operations

Über WEM können die erstellten Rule Sets, über File System Operations an die Worker verteilt werden.

WEM File System Operations

Über die erste Action wird der Inhalt des FsLogix Rules Ordner bereiningt.

File System Operation delete

Danach werden die vorhandenen Rule Sets in den Ordner kopiert und durch den Agent verarbeitet.

File System Operations Create

Troubleshooting

Agent & Services

Um zu prüfen ob der Agent läuft (running), gebt die folgenden Befehle im Command Prompt ein.

sc query frxsvc
sc query frxdrv

Um zu prüfen ob die benötigten Dienste (frxdrv, frxdrvvt & frxccd) gestartet sind, gebt den folgenden Befehl in einem Elevated Command Prompt (Run as Administrator) ein.

Fltmc

Logs

Überprüft die Log Dateien der einzelnen Bereiche. Wenn diese nicht vorhanden sind (Default Value 0), aktiviert diese wie folgt in der Registry.

Registry Pfad: HKLM\SOFTWARE\FSLogix\Logging

Alle Werte sind vom Typ DWORD und werden auf ‚0‘ gesetzt, um die Protokollierung für die Komponente zu deaktivieren, oder auf ‚1‘, um die Protokollierung für die Komponente zu aktivieren.

ComponentValue NameDefaultDefault Path
Rule EditorRuleEditor0%ProgramData%\FSLogix\Logs\RuleEditor
FSLogix Agent Service (frxsvc.exe)Service0%ProgramData%\FSLogix\Logs\Service
Rule CompilationRuleCompilation0%ProgramData%\FSLogix\Logs\RuleCompilation
Font VisibilityFont0%ProgramData%\FSLogix\Logs\Font
Network InformationNetwork0%ProgramData%\FSLogix\Logs\Network
Printer VisibilityPrinter0%ProgramData%\FSLogix\Logs\Printer
AD Computer Group ProcessingAdsComputerGroup0%ProgramData%\FSLogix\Logs\AdsComputerGroup
Driver InterfaceDriverInterface0%ProgramData%\FSLogix\Logs\DriverInterface
Process Start MonitorProcessStart0%ProgramData%\FSLogix\Logs\ProcessStart

Rule Files

Kopiert euch die Kompilierten Rule Set Dateien aus dem Ordner C:\Program Files\FSLogix\Apps\CompiledRules heraus und öffnet diese mit einem Editor um den Inhalt mit den Original Rule Set Dateien zu vergleichen.

Compiled Rules

fxc ist die Rule Datei.

fxc file

fxac ist die Assignment Datei.

fxac File

5 Gedanken zu „FSLogix App Masking in Citrix Umgebungen“

  1. Hi,
    vielen Dank für diese Anleitung.
    Aber wie hast Du das kopiern der Rules mit WEM gemacht?
    Das Kopieren der Dateien erfolgt ja im Usercontext, so dass der user an dem Rules Verzeichnis gar keine Rechte hat. Gut – man kann dem User Rechte geben – aber ist auch nicht so sinnvoll.
    Und wenn sich nun mehrere Benutzer am Server anmelden, dann werden ja die Dateien immer wieder gelöscht und überschrieben.
    Oder verstehe ich das was falsch?
     
    Gruß
    Hermann

    1. Hi Hermann,

      Wenn du dies per WEM machst, wird das kopieren über den WEM Agent gemacht. Dies geschieht im System Kontext und nicht im User Kontext.

      Dies kann natürlich auch ganz einfach per BIS-F durchgeführt werden.

  2. Hi,
    danke für das schnelle Feedback.
    Bei mir wurden die Dateien erst in das Rules Verzeichnis kopiert, nachdem ich dem aktuellen User Rechte an das Verzeichnis gegeben habe.
    Vorher gab es immer einen Fehler im LOG.

  3. Kann man auch für FSLogix selbst verstecken, damit nur eine bestimmte die Gruppe die Anwendung sieht?
    Wenn ich das mache, startet der FSLogix Apps Dienst nach einem Neustart nicht mehr.
    Theoretisch kann so ja jeder mit Adminrechten die Regeln wieder entfernen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

* Ich bin damit einverstanden, dass diese Website die von mir übermittelten Daten speichert, damit sie auf meine Anfrage antworten kann.