Категорії
VMware: Гайди з розгортання та налаштування

VMware Dynamic Environment Manager и Horizon 8 2012

Продукт Dynamic Environment Manager (DEM) предлагает персонализацию и динамическую настройку по всем виртуальным, физическим и клауд-средам:

Он упрощает управление профилями пользователей с помощью единого масштабируемого решения, и благодаря ему можно облегчить сопоставление инфраструктуры, включая сети и соответствия принтеров, а также настраивать динамическую установку политик для конечных пользователей. С DEM доступ к рабочему пространству Windows и приложениям стает в разы быстрее, более индивидуальным и постоянным.

До версии 9.9 (дата выхода 18.09.2019) продукт Dynamic Environment Manager был в ходу как User Environment Manager (UEM).

О продукте VMware DEM

DEM позволяет применять сделанные для приложения изменения по всем устройствам, моментально адаптируя пользовательский опыт, в зависимости от расположения любого из этих устройств. Он быстро добавляет или удаляет профили и персонализированные сервисы, а назначенные политики, в буквальном смысле, следуют за пользователем, что позволяет значительным образом оптимизировать затраты на администрирование инфраструктуры и существенно расширяет возможности Windows.

Это ключевой компонент JMP-платформы VMware, о которой мы говорили в нашей статье «Установка VMware Horizon Version 2012 от «А» до «Я»». Он служит своеобразным мостом между желаниями пользователей получить гибкость в настройке собственной персонализированной, стабильной ВМ и предпочтениями IT-департаментов управлять оптимизированными непостоянными машинами.

Перед тем, как перейти непосредственно к изучению функционала и архитектуры решения, немножко погрузимся в используемую DEM терминологию, дабы дальнейшее не вызывало вопросов:

Management Console (управляющая консоль) – консоль DEM.

Flex configuration file (конфигурационный Flex-файл) – конфигурационный файл, где определяются все приложения, Windows и пользовательские настройки среды. Создается и управляется с консоли.

DEM configuration share (файловый ресурс конфигурации DEM) – UNC-путь к файловому ресурсу, где хранятся настройки управляющей консоли и файлы конфигураций DEM.

FlexEngine – клиент DEM, инсталлируемый на каждом физическом или виртуальном Windows-устройстве, где используется DEM.

Profile archives (архивы профилей) – «*.zip»-файлы архивов профилей, где FlexEngine хранит персональные настройки пользователей, опираясь на содержимое Flex-конфигурации. Для каждого создаваемого файла Flex-конфигурации FlexEngine создает архив профиля под каждого пользователя.

Profile archives path (путь к архивам профилей) – путь, используемый FlexEngine для хранения архивов профилей под каждого пользователя.

Profile archives backup path (путь к бекапам архивов профилей) – путь, используемый FlexEngine для хранения бекапов архивов провилей.

General folder (папка «General») – папка, которую консоль создает на файловом ресурсе конфигурации DEM. Это место, где конфигурационные Flex-файлы создаются, управляются и используются из FlexEngine.

Функции DEM

Независимо от того, имеем ли мы с автономную, скромных размеров систему, или же это полноценная сложная среда корпоративного уровня, DEM работает с:

  • настройками принтеров,
  • сопоставлениями сети и принтеров,
  • параметрами на основе ADMX,
  • Smart-политиками Horizon,
  • переменными сред,
  • пользовательскими файлами, папками и параметрами реестра,
  • задачами входа и выхода из системы,
  • скрытием дисков,
  • локализацией,
  • инициированными задачами,
  • блокированием приложений,
  • конфигурированием приложений.

Параметры приложений могут предопределяться. Это означает, что, когда пользователь открывает приложение, его параметры конфигурации уже автоматически настроены.

Управление DEM настройками Windows и приложениями пользователей, абстрагируясь от типа «железа» и ОС, производится с помощью таких характеристик, как роль, устройство и локация, и обладает следующими качествами:

  • Все управление делается через Windows-профиль;
  • Облегчение апгрейдов с помощью функций персонализации, в т. ч. миграции с Windows 7 или Windows1 на Windows 10, или с Microsoft Application Virtualization (App-V) 4.x на App-V 5;
  • XML-файлы и ключи реестра помогают индивидуализировать управление настройками;
  • Параметры приложений могут динамически курсировать между физическими системами, виртуальными десктопами и опубликованными приложениями RDSH, а также Citrix XenApp и Citrix XenDesktop. Их персонализация позволяет разделять, сегментировать и мигрировать индивидуальные настройки в разных ОС;
  • Пользовательская среда управляется централизованно и весьма несложно, и при этом потребителю обеспечивается непрерывная и персонализированная работа. Настраиваемость спецификаций пользовательских сред позволяет уменьшить количество сложных сценариев и предотвращать ошибки конфигурации;
  • Масштабируемость уровня Enterprise-лицензии;
  • Сокращение времени входа в систему благодаря DirectFlex, устраняющему затраты на процесс логгирования;
  • Доступность управления минимальными привилегиями (снижение рисков от программ-вымогателей и вредоносных; возможность организовывать как гибко настраиваемые персональные ВМ постоянного типа, так и оптимизированные непостоянные; возможность наделять более высокими привилегиями тех, кто работает с исполняемыми файлами, или же установщиков приложений);
  • Клиенты DEM могут инсталлироваться на RDS или VDI-хостах, а также на физических устройствах. Они доступны и настраиваются через центральные GPO в AD:

Автономная персонализация DEM независима от традиционной системы пользовательских профилей Windows и полностью агрегируема с технологиями виртуализации и механизмами доставки приложений. А менеджмент параметров пользовательских сред доступен из единственной управляющей консоли.

Настройка параметров пользовательских сред может осуществляться DEM на основе шаблонов ADMX, существенно упрощая сам процесс, благодаря элементарности консоли и тому факту, что гораздо проще работать с этой функцией, чем с фильтрацией Windows Management Instrumentation (WMI). ADMX-шаблоны помогают заранее сконфигурировать множество сред для самых различных случаев использования. Главными особенностями технологии можно назвать:

  • Параметры на основе условий (IP-адрес, OU, членства в AD-группе, доступности папки или файла на ВМ);
  • Удобную фильтрацию при поиске политик;
  • Функцию «Show Configured Policies» для отображения настроенных политик;
  • Автоматизацию задач (например, вызванных заблокированием или разблокировкой Workstation).

Архитектура DEM

Общее понимание архитектуры решения DEM можно получить из такой схемы:

Все его компоненты можно логически сгруппировать в три блока:

  • Управляющая консоль (главный интерфейс для управления и настройки DEM);
  • FlexEngine (агент, проинсталлированный на физической или виртуальной машине, управляемой DEM);
  • Файловые ресурсы (UNC-путь к ресурсам, иерархическая структура папок, хранение файлов конфигурации на отдельном ресурсе конфигураций, а пользовательских данных – в публичных архивных файловых ресурсах).

Компоненты DEM связываются друг с другом по SMB-протоколу.

Интеграция DEM в Horizon

DEM предоставляет администраторам Horizon смарт-политики для детального контроля над пользовательскими десктопами с возможностью включения и выключения самых разнообразных функций, в т. ч. перенаправления буфера обмена, доступа по USB, печати и перенаправления клиентских дисков, управления использования пропускной способности канала. Эти смарт-политики применяются в зависимости от роли и оцениваются в момент входа или выхода из системы, при отключении или переподключении, с заранее заданными интервалами обновления.

Также доступно управление ярлыками приложений и ассоциациями файловых типов для виртуализированных и физических приложений. При этом в любой момент можно вернуться к дефолтной конфигурации DEM.

Требования и совместимость

По лицензированию, в отдельной лицензии в случае десктопной виртуализации DEM не нуждается – она встроена в Horizon 7 и выше версии. Она требуется исключительно при автономной установке. При обновлении нужно заменить старый файл с ключами на новый. При переходе с ознакомительной лицензии на продакшен, реинсталляция компонентов DEM не нужна.

DEM не нужны собственные дополнительные инфраструктурные компоненты, вроде SQL-баз, и тому подобное. Он рассчитывает только на существующую структуру, и использует, как было рассказано в теоретическом блоке сверху, файловые ресурсы конфигурации, размещать которые можно и при мульти-сайтовом сценарии, файловые ресурсы архивов профилей (их лучше поместить для идеальной производительности на общедоступный ресурс, максимально близкий к компьютеру, на котором запущен FlexEngine) и сам FlexEngine – инсталлируемый на управляемых Windows компьютерах.

Полезны и AD GPO для настройки FlexEngine – файлов ADMX-шаблонов, предоставляемых DEM.

Что же касается конкретных цифр, для DEM хорошо предусмотреть 1 Гбит/с-подключение пользователей (в разворотах до 5 000 юзеров) к файловым ресурсам конфигурации для оптимизации времени входа. По хранилищу файлов конфигурации, сказать что-то определенное непросто, так все очень сильно зависит от специфики разворота. Обычно, минимальный размер стартует с 1 ГБ при 200 КБ на каждое приложение.

Файловые ресурсы архивов профилей диктуют такие же требования к скорости связи, а в хранилище выделяется, минимум, по 100 МБ на пользователя.

Поддерживаемые версии ОС Windows:

  • Windows 7 Professional/Enterprise/Ultimate x86 и x64 SP1,
  • Windows Server 2008 R2 Standard/Enterprise x64 SP1,
  • Windows Server 2012 Standard/Datacenter x64,
  • Windows 8.1 Professional/Enterprise x86 и x64 (обновленные),
  • Windows Server 2012 R2 Standard/Datacenter x64 (обновленные),
  • Windows 10 1803 (апдейт 04-2018) Professional/Enterprise x86 и x64,
  • Windows Server 2016 Standard/Datacenter x64.

Поддержка продуктов виртуализации приложений равных и свежее версий:

  • App-V 4.6 Service Pack 3,
  • App-V 5.0 Service Pack 3,
  • App-V 5.1,
  • ThinApp 5.2,
  • SWV 7.5,
  • SWV 7.6,
Важно! Для нормальной работы FlexEngine нельзя отключать в Group Policy доступ к «Regedit.exe» или «Reg.exe» (значение опции «Disable regedit from running silently?» не должно быть выставлено на «No»).

Подготовка к инсталляции DEM

Предположим, наша инфраструктура соответствует тем немногим требованиям, изложенным в разделе «Требования и совместимость» выше. Продуман дизайн и есть наброски ожиданий от функционала, а также нет вопросов к лицензированию. В принципе, на этом, можно считать подготовительные этапы завершенными, за исключением пары замечаний и нескольких шагов по инициации файловых ресурсов, настройки разрешений, импортирования GPO и закачки свежей версии продукта.

Важно! К NTFS доступ должен быть максимально защищен. Разрешения в разрезе каждого типа файловых ресурсов выдаются следующие:
  • DEM Profile Archives (на «\\server\DEMProfiles»):
    • Администраторы – «Full Control»,
    • Саппорт – «Modify»,
    • Пользователи – «Read/Execute», «Create Folders» (последнее – только в этой папке);
    • Creator Owner – «Full Control»;
  • Файловые ресурсы DEM Configuration (на «\\server\DEMConfig»):
    • Администраторы – «Full Control»,
    • Саппорт – «Read»,
    • Пользователи – «Read»,
    • Domain Computers – «Read» (для DEM компьютера ADMX);
  • Файловые ресурсы монолитных перемещаемых профилей, не относящихся к DEM (на «\\server\Profiles\Win10»):
    • Администраторы – «Full Control»,
    • Саппорт – «Modify»,
    • Пользователи – «Read/Execute», «Create Folders» (последнее – только в этой папке);
    • Creator Owner – «Full Control»;
  • Файловый ресурс перенаправления папок (на «\\server\Redirect»):
    • Администраторы – «Full Control»,
    • Пользователи – «Read/Execute», «Create Folders» (последнее – только в этой папке);
    • Creator Owner – «Full Control».

В деталях же, для завершения подготовки к инсталляции и дальнейшему использованию DEM нам нужно сделать следующее:

  1. Создать файловые ресурсы всех нужных типов для DEM;
  2. Настроить разрешения для этих файловых ресурсов;
  3. Импортировать GPO и настроить их для DEM;
  4. Скачать актуальную версию DEM.

Займемся всем этим по порядку.

Создание файловых ресурсов для DEM

Проверяем, чтобы на файловом сервере было включено расшаривание файлов и принтеров:

Создаем новую папку с именем «DEMProfiles» (когда закончим с этой, повторим все операции для «DEMConfig») на файловом сервере, который будет хостить наш файловый ресурс. Затем открываем свойства этой папки («Properties») и на вкладке «Sharing» кликаем на «Advanced Sharing»:

Ставим галочку на «Share this folder»:

и кликаем на кнопку «Permissions». По строке «Full Control» ставим галочку на «Allow»:

Кликаем на вторую кнопку (предпоследний скриншот) «Cashing» и в вылетевшем окне ставим точку на «No files or programs from the shared folder are available offline»:

Далее выдаем разрешения на эту папку. Снова открываем «Properties» новой расшаренной папки и на вкладке «Security» нажимаем на кнопку «Advanced»:

Кликаем на «Disable Inheritance» внизу:

А затем в появившемся окне на первую строку «Convert inherited permissions into explicit permissions on this object»:

Нажимаем «ОК» в расширенных настройках безопасности, чтобы сохранить и применить назначенное:

Далее на вкладке «Security» нажимаем на «Edit»:

Кликнув на запись «Authenticated Users» (может быть «Everyone» или «Users» – не принципиально) снимаем галочку с «Full Control» и «Modify», однако «Write» должно быть активным:

Добавляем запись «CREATOR OWNER» кнопкой «Add» и даем ему «Full Control»:

Теперь наши разрешения на файловые ресурсы полностью отредактированы в соответствии с требованиями, и можно закрывать это окно кнопкой «ОК».

Снова в свойствах новосозданной папки нажимаем на «Advanced», становимся на «Authenticated Users» и нажимаем кнопку «Edit»:

В поле «Applies to:» из выпадающего меню выбираем «This folder only», чтобы пользователи не могли иметь доступ к новым создаваемым папкам профилей:

Закрываем сначала окно «Security», а затем и «Properties» кнопками «ОК».

Импорт GPO-шаблонов и их настройка для DEM

Что касается импорта GPO и их настройки, мы этому вопросу уделим максимум внимания в статье «Базовые инструменты администрирования VMware Horizon 8 Version 2012 и настройка групповых политик». Здесь разбирать эту тему с нуля нет смысла – она слишком масштабна и затрагивает массу других аспектов настройки и использования Horizon. Лишь заметим, что скачивается пакет GPO отсюда:

Актуальной на момент написания этой статьи версией DEM является 2009-я – ее нам и нужно подготовить для дальнейшей работы. Ее билд 10.1.0.959 был издан 15.10.2020 и он доступен для скачивания здесь.

Разворот и начальная настройка DEM

На машине администратора запускаем загруженный файл «VMware Dynamic Environment Manager 10.1 x64.msi»:

Запустится соответствующий визард, на приветственной страничке которого просто кликаем «Next»:

Пробежимся по его пунктам:

  • Соглашение о лицензировании. Как обычно, ставим галочку, принимая и снова – «Next»:

  • «Destination Folder». По автомату пропишет дефолтный путь к Flex-профилям. Если не устраивает – назначаем свой кнопкой «Browse»:

«Next»;

  • «Choose Setup Type». Три типа разворота, нам нужен «Custom»:

«Next»;

  • «Custom Setup». Здесь меняем выбор так, чтобы инсталлировалась только консоль:

«Next»;

  • «Ready to install VMware Dynamic Environment Manager Enterprise». Кликаем на «Install»:

  • «Completed the VMware Dynamic Environment Manager Enterprise Setup Wizard». «Finish»:

Далее нам нужно задать начальную настройку DEM, чтобы обеспечить минимальное администрирование и переходить к использованию продукта и его более глубокой настройке. Для этого запускаем консоль из меню «Start»:

При первом запуске вылетит окошко, в котором надо задать путь к папке, где будет лежать конфигурация DEM и нажать «ОК»:

Затем будет окно «Settings», в котором галочками отмечаем, что именно будет показано в консоли (набор вкладок – далее можно будет добавить пропущенные в любой момент, подробно рассмотрим ниже). Пока оставляем все по дефолту и жмем «ОК»:

После этого откроется сама консоль, где на вкладке «Personalization» в самом конце верхнего меню будет кнопка «Easy Start»:

Ее и нажимаем, чтобы выбрать версии офиса, с которыми планируем работать:

Фиксируем свой выбор кнопкой «ОК», после чего вылетит окно подтверждения, в котором снова нужно нажать на «ОК»:

Теперь можно убедиться в доступности сконфигурированных настроек. К примеру, если зайти на вкладку «User Environment» в разделе левого меню «Shortcuts» DEM должен создать ярлык «Wordpad», в информации о котором будет значиться, что его создал именно VMware DEM:

Там же можно редактировать параметры этого объекта, удалять его или выключать, при необходимости.

И, наконец, на той же вкладке «User Environment» слева нужно найти «Windows Settings», раскрыть эту папку и кликнуть на «Policy Settings» в ней. Если справа будет параметр «Remove Common Program Groups», нужно кликнуть на «Edit»:

В «Conditions» должно быть добавлено условие «NOT User is a member of group ‘CORP\Domain Admins’»:

чтобы оно не применялось к администраторам.

Настройка DEM GPO и FlexEngine

Загруженные шаблоны GPO надо скопировать в «\\domain.com\sysvol\domain.com\Policies\PolicyDefinitions», или в «C:\Windows\PolicyDefinitions», если предыдущее месторасположение не существует. Если там уже записаны какие-то файлы –вставляем поверх уже имеющихся:

Все DEM GPO-настройки после этого можно найти в пользовательской части GPO:

Общие рекомендации по конфигурированию GPO в Horizon, как мы уже обещали, обязательно приведем в статье «Базовые инструменты администрирования VMware Horizon 8 Version 2012 и настройка групповых политик». Однако кое-что касается непосредственно DEM, поэтому эти моменты имеет смысл рассмотреть прямо сейчас.

Прежде всего, заметим, что DEM GPO – это больше про пользовательские настройки, чем про настройки компьютера. Для начала убедимся, что ни в одном GPO не включено «Prevent access to registry editing tools», иначе FlexEngine правильно работать попросту не будет. Также нужно позаботиться об одной компьютерной настройке, отредактировав GPO «Horizon Agent Computer Settings»:

  • Заходим в «Computer Configuration» – «Policies» – «Administrative Templates» – «System» – «Logon» и дважды кликаем на «Always wait for the network at computer startup and logon» справа:

  • Включаем этот параметр и нажимаем «ОК»;
  • Закрываем редактор групповой политики.

Теперь для перемещения по «File Type Associations» нужно включить параметр «Do not show the ‘new application installed’ notification» в «Computer Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «File Explorer»:

После этого надо отредактировать еще несколько касающееся пользовательских настроек GPO. В т. ч. «Horizon Agent All Users»:

Эта групповая политика применяется ко всем агентам Horizon, а кольцевая обработка на их машинах должна быть уже включена.

Также надо уделить внимание FlexEngine. Заходим в «User Configuration» – «Policies» – «Administrative Templates» – «VMware DEM», а дальше все зависит, от того, по какому пути построения профилей вы пошли. Если, к примеру, DEM запускается поверх обязательных профилей, тогда дважды кликаем на «Certificate support for mandatory profiles»:

Включаем параметр и нажимаем «ОК».

Затем дважды жмем на «Flex config files»:

и включаем этот параметр. В окне его редактирования нужно еще прописать путь «\\server\demconfig\general»:

Эта папка создастся самой консолью DEM.

Заходим в «FlexEngine Logging»:

и включаем этот параметр, а затем ниже в окне редактирования вводим путь «\\server\demprofiles\%username%\logs», чтобы DEM создал эти папки:

Теперь в том же списке параметров FlexEngine ниже ищем «Paths unavailable at logon». По дефолту для юзеров заблокирован вход, если файловые ресурсы DEM недоступны:

Еще нужно отредактировать «Profile archive backups»:

Включаем этот параметр и вводим путь «\\server\demprofiles\%username%\backups», а также назначаем количество желаемых бэкапов и ставим галочку в поле «Create single backup per day», чтобы они сохранялись ежедневно:

И параметр «Profile archives»:

Его включаем в окне редактирования, вводим путь «\\server\demprofiles\%username%\archives» и ставим нужные галочки ниже:

Также редактируем параметр «RunFlexEngine as Group Policy Extension», включив его:

Если используете функцию повышения привилегий, включаете параметр «Privilege elevation logging to the Windows event log»:

И то же самое для «Application blocking logging to the Windows event log»:

Для спецификации дальнейшей работы со скриптами, заходим на «User configuration» – «Policies» – «Windows Settings» – «Scripts (Logon/Logoff)» и дважды кликаем на «Logoff»:

В появившемся окне нажимаем кнопку «Add…»:

В поле имени скрипта вводим «C:\Program Files\Immidio\Flex Profiles\FlexEngine.exe», в поле параметров – «-s» и сохраняем настройку кнопкой «ОК»:

Включение параметров ADMX

В последних версиях DEM доступно включение параметров ADMX. С этой целью заходим на файловый ресурс DEM Config и проверяем, назначено ли разрешение «Read» к папкам для «Domain Computers»:

Затем редактируем GPO, который применяется к параметрам компьютера на машинах агента Horizon («Horizon Agent Computer Settings»):

Заходим в «Computer Configuration» – «Preferences» – «Windows Settings» – «Registry» и добавляем новый объект реестра («New» – «Registry Item»):

В появившемся окне вводим в поле «Key Path» путь «SOFTWARE\VMware, Inc.\VMware UEM\Agent\​Computer Configuration», в «Value name» – «Enabled», в «Value type» – «REG_DWORD» и в «Value data» «1»:

Создаем еще один новый объект реестра с такими настройками:

С таким же путем, но со значением по полю «Value name» – «ConfigFilePath», по «Value type» – «REG_SZ», а в «Value data» вписываем путь к файловому ресурсу DEM Config (завершив местоположением папки «General»). Сохраняем все «ОК».

Настройки компьютера

Для компьютеров домена нужно включить разрешение на чтение файловых ресурсов DEM Config. Для этого в консоли, находясь прямо на «General», кликаем на кнопку «Configure» верхнего меню:

Внизу открывшегося окна «Setiings» на вкладке «General» ставим галочку на «Computer Environment»:

После этого в верхнем меню появится вкладка «Computer Environment» со своим левым меню:

Для базовой настройки кликаем на «ADMX-based Settings» слева и затем на кнопку «Manage Templates» в верхнем меню:

В появившемся окне нажимаем внизу на кнопку «Add Folder»:

И если в SYSVOL у вас уже есть подготовленные PolicyDefinitions для импорта шаблонов ADMX в файловый ресурс DEM Config, можно указать к ним путь, либо же просто вбить «C:\Windows\PolicyDefinitions», а затем сохранить настройку кнопкой «ОК»:

Покажется окно, подтверждающее успешность импорта, в котором тоже нужно нажать внизу на «ОК». В будущем, когда потребуется обновить шаблоны, эту операцию придется повторить.

Теперь следует на том же разделе «ADMX-based Settings» кликнуть кнопку «Create» верхнего меню:

В появившемся окне нажимаем внизу на «Select Categories»:

и выбираем из предложенного списка категорию, где наш параметр будет находиться, а затем жмем на «ОК»:

В секции «ADMX-based Settings» того же окна кликаем на кнопку «Edit Policies», после чего покажется список настроек, выбранных конкретно под указанную нами только что категорию:

Настраиваем здесь все по аналогии с тем, как мы делали для групповых политик выше. Окончательно в окне настроек «ADMX-based Settings» продемонстрируется выбранная нами конфигурация:

Теперь здесь же на вкладке «Conditions» добавляем условия (в списке кнопки «Add», как мы видим, все те условия, что актуальны для пользователей, недоступны):

Общие настройки

Перед началом эксплуатации DEM, будет полезно сделать еще несколько общих настроек.

DEM Support Tool

Опциональный инструмент Helpdesk Support Tool в качестве компонента DEM предоставляет некоторую полезную аналитику, а также поддержку и техобслуживание профильных архивов и их бэкапов. Администраторы решения могут использовать его лично, либо же открывать к нему доступ другим заинтересованным департаментам. Конкретно его функционал состоит в следующем:

  • Перезагружать один или несколько профильных архивов для пользователя;
  • Восстанавливать профильный архивный бекап;
  • Открывать профильный архив для пользователя в Windows Explorer;
  • Редактировать профильный архив для пользователя;
  • Просматривать журналы логов FlexEngine и искать нужные в нем строки;
  • Просматривать общий размер профильных архивов и их бекапов;
  • Узнавать общий размер профильных архивов и их бекапов.

Настроить применение этого инструмента можно, кликнув на иконку «звездочки» в верхнем левом углу консоли (слева от названия продукта), и выбрав в выпавшем меню пункт «Configure Helpdesk Support Tool»:

В появившемся окне нажимаем на кнопку «Add»:

В поле «Profile archive path» вводим файловый ресурс пользовательской папки, обязательно в конце со значком «\» [UserFolder]\Archives»), ставим галочки по остальным пунктам – пути там заполнятся автоматически, – и жмем «ОК»:

В списке конфигураций, как видим, появилась новая, и теперь надо сохранить всю настройку кнопкой «Save»:

Для Support Tool вендором рекомендовано создать новый GPO, применяемый исключительно к группе саппорта:

На вкладке «Scope» меняем фильтрацию, чтобы он применялся к «DEM Support» и «DEM Admins». Если этот GPO также применяется и к машинам со включенной обратной групповой политикой, также стоит добавить и «Domain Computers»:

Теперь надо отредактировать этот новый GPO:

Для этого надо зайти в «User Configuration» – «Policies» – «Administrative Templates» – «VMware DEM» – «Helpdesk Support Tool» и дважды кликнуть на «DEM configuration share»:

Включаем параметр и вводим путь к файловому ресурсу DEMConfig:

При желании можно включить и остальные параметры GPO.

После этого можно приступать к инсталляции самого Support Tool. Находим в папке «Optional Components» извлеченных файлов DEM (см. первичную инсталляцию) файл «VMware DEM Helpdesk Support Tool 9.9» и запускаем его:

Откроется соответствующий визард, приветственную страничку которого прощелкиваем кнопкой «Next»:

Далее будет страница лицензирования – галочка, «Next». На странице «Destination Folder» можно оставить папку установки по умолчанию – «Next»:

И на страничке «Ready to install VMware DEM Helpdesk Support Tool» жмем «Install»:

Наконец, по завершению инсталляции закрываем окно визарда кнопкой «Finish».

После этого соответствующая программа станет доступна из меню «Start»:

И если ее открыть, пользовательский интерфейс будет выглядеть примерно так:

Как видите, управление здесь элементарно, поэтому отводить сейчас время на его изучение смысла нет.

DEM Changelog

В левой панели кликаем на «Management Console» в секции «VMware DEM». Справа, начиная с версии 9.6 продукта, появилось два новых параметра для Changelog:

Журнал изменений на диске хранится в общей папке DEM на «\\server\DEMConfig\Changelog\general»:

Логи изменений в журнал событий Windows содержатся в «Windows Logs» – «Application» Event Viewer консоли локальной машины, но ни на одном из центральных серверов:

Changelog можно включить и на консоли DEM, нажав на кнопку верхнего меню «Configure»:

В окне «Settings» следует зайти на вкладку «Configuration Changelog» и поставить галочки на обоих параметрах:

Теперь у каждого конфигурационного элемента консоли DEM будет своя вкладка «Changelog»:

Перемещение по меню «Start» в Windows 10 1703 и новее

Важно! Опция работает только с новейшими версиями DEM. На Windows Server 2019 она доступна, а вот к Windows Server 2016 v. 1607 не применяется.

Чтобы стало возможным перемещение по меню «Start», заходим на вкладку «Personalization» и кликаем на папку «Windows Settings», после чего нажимаем на кнопку верхнего меню «Create Config File»:

В открывшемся окне визарда ставим точечку на «Use a Windows Common Setting» и нажимаем «Next»:

Следующим его этапом станет выбор доступности меню «Start» для конкретной версии Windows 10 (ставим точку на Windows 10 Start Menu – Windows 10 Version 1703):

В заключение нужно вписать имя файла, с которым DEM создаст архив для каждого пользователя, и нажать после этого на «Finish»:

Администрирование DEM

После того, как мы установили все компоненты DEM и осуществили начальную настройку этого решения, стоит изучить его пользовательский интерфейс, чтобы получить наглядное представление о функционале, а также рассмотреть некоторые самые распространенные задачи практического применения.

UI DEM

Консоль DEM чрезвычайно проста и прозрачна для понимания. Количество и состав ее вкладок регулируется настройками в окне:

Вкладки «Personalization», «User Environment» и «Condition Sets» присутствуют в консоли изначально, остальные же, к примеру, «Application Migration» или «Computer Environment» (о последней мы рассказывали подробно выше, когда приводили обязательные настройки DEM) можно добавлять уже в процессе. Скажем о них в общем пару слов:

  • «Personalization». Здесь разделяются и сегментируются специфические для пользовательского десктопа и приложений настройки от ОС Windows. Настраиваются исходные параметры приложений, без учета настроек по умолчанию. Каждое пакетированное в среде Horizon приложение будет отображено в левом меню, и по нему можно создавать конфигурационные файлы, загружать их шаблоны, задавать предопределенные настройки для проинсталлированных и виртуальных версий приложения, управлять бэкапами и делать многие другие полезные вещи:

  • «User Environment». Настройка и управление пользовательскими параметрами Windows. Количество отображаемых секций на этой вкладке зависит от того, что мы выбрали в правой панели меню («ADMX-based Settings», «Drive Mappings», «Environment Variables», «File Type Associations», «Files and Folders», «Logon Tasks/Logoff Tasks», «Printer Mappings», «Registry Settings», «Shortcuts», «Display Language», «Hide Drives» и другие). Например, для первой позиции – «ADMX-based Settings» – предусмотрены блоки кнопок «List», «ADMX-based Settings», «Configure» и «Manage Templates ADMX»:

Полностью описывать, что каждая ассоциация делает смысла нет – главные и чаще всего используемые опции мы рассмотрим в этой главе ниже, а в остальном – просто ищете в левой панели интересующий аспект, кликаете на него, а дальше верхнее меню интуитивно подскажет, какие возможности в этом случае доступны;

  • «Condition Sets». Здесь настраиваются наборы условий, способные адаптироваться к конкретным бизнес-требованиям к среде, опираясь на такие характеристики, как пользователь, локация и устройство. Перейдя на эту вкладку, мы увидим список уже созданных наборов – ими можно управлять кнопками верхнего меню, а также создавать новые и удалять, экспортировать или дублировать, редактировать:

При редактировании можно комбинировать несколько условий (оператор «AND»), а также ставить условие «либо-либо» («OR»), и отказываться от них в разных сочетаниях – «AND NOT» и «OR NOT». Чтобы использовать эту возможность в контекстном меню из второй кнопки выпадающего меню «Edit» выбирается соответствующий оператор:

  • «Application Migration». Позволяет мигрировать персональные настройки приложений пользователей с одной ОС на другую (ниже уделим ей отдельный подраздел).

Полезные опции администрирования DEM

Бесспорно, конкретика процессов администрирования DEM целиком и полностью опирается на текущие бизнес-задачи, стоящие перед десктопной виртуализацией. И полное перечисление их возможностей, приведение всех сопутствующих советов уложится, пожалуй, лишь в формат полноценного учебника. Поэтому сегодня мы остановимся лишь на нескольких самых интересных и востребованных моментах.

Использование шаблонов персонализации и другие ее полезные настройки

На вкладке «Personalization» после начальной инициации самой фундаментальной конфигурации, которую мы задавали в разделе «Разворот и начальная настройка DEM» выше, предлагается целый пакет разнообразнейших настроек. Чтобы увидеть, какие конкретно были сохранены DEM, заходим на вкладку правой рабочей области «Import / Export» и сбоку в выпадающем меню кнопки «Manage» выбираем «Expand»:

Соглашаемся в окне подтверждения, нажав на «Yes», после чего рабочая область примет примерно такой вид:

Чтобы выйти из этого вида, нажимаем на любой другой параметр «Personalization» и в окне запроса на сохранение изменений отклоняем его кнопкой «No».

Добавить настройки профиля при логауте можно, выбрав интересующий раздел в левом меню и нажав на «Create Config File»:

После этого появится мини-визард, где вначале определяемся с тем, что именно хотим делать (например, задавать настройки для общих параметров Windows или же шаблонов приложений, также можно даже создать свой новый тип config-файла, поставив точку на «Create a custom config file»):

Допустим, мы хотим поработать с настройками Windows. Тогда второй шаг визарда предложит нам обозначить точечкой, какой именно параметр «Windows Common Setting» мы хотим включить:

Следом нам предложат выбор доступных шаблонов приложений, который можно присоединить к настройке:

Учтите, что покажутся только те шаблоны, которые мы предварительно загрузили, используя кнопку «Download Config Templates» верхнего меню из репозитория VMware:

И, наконец, на заключительном этапе нужно просто подтвердить свой выбор.

Еще одна полезная настройка персонализации делается на вкладке правой части рабочей области «DirectFlex». Крайне рекомендуется здесь ставить галочку на «Enable DirectFlex for this config file» всегда, когда это только возможно. В результате вход существенно ускорится, так как эта функция складирует настройки по требованию прямо в момент запуска пользователем приложения, а не хранит файлы все время, в том числе и в процессе логина, из-за чего он испытывает задержки:

Также доступно быстрое управление настройками того или иного приложения, если после выбора его в левой панели, кликнуть на нем правой кнопкой:

В этом меню файл его конфигурации можно отключать («Disable»), удалять («Delete») или выводить его в статус «Retire» и архивировать. Последняя возможность на практике очень полезна, так как позволяет дать пользователям время на выход из приложения перед тем, как окончательно удалить его настройки.

DEM дает возможность задавать предустановленные настройки для приложений. Для них есть специальная вкладка «Predefined Settings» в рабочей правой области вкладки «Personalization». Зайдя на нее и нажав кнопку «Create Config File», выбирается из выпадающего меню тип предустановленной настройки (Default Settings/Partially Enforced Settings/Default Settings with Partial Enforcement (комбинация первых и вторых)/Fully Enforced Settings):

Здесь «Default Setting» – это базовый вариант. Если же мы выбираем «Default Settings with Partial Enforcement», к примеру, дефолтные настройки будут применяться, когда не существует ни одного пользовательского профиля в архиве, а при его импорте именно «Partially Enforced Settings» станут активными.

Если нужно полностью избавиться от индивидуальных настроек, можно воспользоваться вкладкой «Profile Cleanup» там же. Также очень полезна вкладка «Backups»:

где для настроек приложений задается конфигурация бэкапирования.

Секция «Self-Support» предоставляет инструментарий для восстановления пользователями настроек из бэкапов, либо же их сброс до дефолтных. Последнее, по желанию, можно отключить.

Вкладка «Advanced» позволяет ставить галочку на «Process during logon and logoff», чтобы FlexEngine применял все конфигурационные файлы во время логина и логаута:

Также здесь можно указывать максимальный размер и возраст включаемых в профильный архив файлов – те, что выпадают за эти рамки, будут просто пропускаться. Также можно поставить галочку на «Settings are OS-specific», если данные настройки не должны применяться вне зависимости от ОС.

Запуск «Triggered Tasks»

При переподключении сеанса или разблокировании рабочей станции можно запустить «Triggered Tasks». Это полезно для переоценки смарт-политик. Для этого заходим на вкладку «User Environment» и ищем в левом меню «Triggered Tasks», выбираем интересующую задачу и редактируем ее, либо же создаем новую кнопкой «Create» верхнего меню:

Список доступных триггеров:

Обратите внимание, триггер для «All AppStacks Attached» при создании новой задачи в соответствующем окне доступен только в UEM 9.4 и свежее.

Обязательно следует оговорить переприменение политик Horizon при переподключении пользователей к существующему сеансу. Для этого заходим на вкладку «User Environment» – «Triggered Tasks» и кликаем на «Create», чтобы создать новый триггер (либо же редактируем уже имеющийся). Из выпадающего списка по «Trigger» выбираем «Session Reconnected», в поле «Action» – «User Environment refresh» и ставим галочку на «Horizon Smart Policies»:

После чего сохраняем настройку кнопкой «Save».

Включение смарт-политик Horizon

В DEM доступно подключение функционала Horizon для внешних пользователей и других случаев. Чтобы им пользоваться, нужно зайти на вкладку «User Environment» в «Horizon Smart Policies» и создать соответствующую политику:

Далее в соответствующем окне заполняется список параметров на вкладке «Settings», настраиваемых в «Smart Policies» Horizon:

На вкладке «Conditions» здесь же, можно применять любые доступные условия:

Для обнаружения внешних пользователей нужно выбрать «Horizon Client Property» и в выпадающем меню по «Property» выбрать «Client Location», а в значении этого параметра правее – «External»:

Также интересным является условие «Endpoint Platform». В «Horizon Client Property», если зайти в редактирование условий и выбрать именно его, можно создать соответствующую политику:

Кстати, с версии 9.8 UEM в списке доступных платформ появился и Chrome.

Блокировка приложений

Задать условия, при которых будут блокироваться приложения можно на вкладке «User Environment» в «Application Blocking», кликнув на которое нужно нажать кнопку верхнего меню «Global Configuration»:

В появившемся окне ставим галочку на «Enable Application Blocking» и в блоке «Conditions» добавляем кнопкой «Add» условия, при которых должно блокироваться приложение:

После этого можно создавать параметр «Application Blocking», чтобы указать папки, из которых пользователи смогут запускать исполняемые файлы или назначить дозволенные хэши файлов (на следующем скриншоте вместо «Path-based» надо выбрать «Hash-based»):

Появится окно «Application Blocking», в котором в секции «Application Blocking Settings» можно добавлять папки, которые позволяют или блокируют приложения:

На этом пути любой исполняемый файл может быть разрешен или заблокирован. По дефолту те, что в «Windows» и «Program Files», включая x86, разрешены.

Если тип блокировки выбрать, как основанный на «Publisher-based», и по кнопке «Add» выбрать нужные, DEM будет читать сертификат и добавлять его к списку.

Повышение привилегий

Функция повышения привилегий позволяет запускать под правами администратора, даже если пользователь им по факту не является. Включить эту возможность можно на вкладке «User Environment», выбрав «Privilege Elevation» и кликнув на кнопку «Global Configuration»:

В открывшемся окне ставим галочку на «Enable Privilege Elevation» и в секции «Conditions» добавляем условия, при которых эта функция доступна:

Важно! Если подобное разрешение дается инсталляторам, его нужно предоставить и всем их дочерним процессам, поставив галочку на «Also elevate all child processes».

После того, как функция включена, в целом, следует определить, для каких приложений она станет работать. С этой целью на «Privilege Elevation» создаем новый параметр кнопкой «Create» верхнего меню:

указывая механизм сортировки приложений, для которых могут повышаться привилегии, по их типу (аналогично блокировке приложений – по пути, хэшу или сертификату издателя, однако помимо спецификации самих приложений, доступен выбор по типу инсталлятора «Path-based user-installed application»). Также здесь важно не забыть поставить галочку на разрешении для дочерних процессов, если останавливаемся все-таки на типе, базирующемся на приложении:

Еще один тип из этого меню – «Argument-based elevated application» – позволяет повышать указанные скрипты и/или аплеты Control Panel.

Миграция персональных настроек приложений

Если в «Settings» поставить галочку на «Application Migration»:

в верхнем меню появится новая вкладка «Application Migration»:

С ее помощью можно мигрировать персональные настройки приложений пользователей с одной ОС на другую в случае, если конфигурация приложения хранится в том же месте, что и пользовательский профиль, и использует одинаковый реестр и местонахождение AppData. Очень полезно в апгрейде версий приложений как этапа либо миграции ОС, либо управления жизненным циклом приложений.

Важно! В случае, если места хранения настроек обновляемых приложений отличаются от тех, где находятся предыдущие версии, часть пользовательских индивидуальных настроек может теряться.

Механизм миграции настроек DEM базируется на XML. Он загружает пакет, содержащий экземпляры файла переноса XML для миграции, к примеру, разных версий Microsoft Office.

Сопоставление дисков и принтеров

Настройка сопоставления дисков нуждается в настройке условий. Для этого в левом меню выбираем «Drive Mappings», после чего кликаем на «Create» и заполняем поля вкладок соответствующего окна конфигурации:

Чтобы задать настройки сопоставления принтеров, в левом меню ищем пункт «Printer Mappings» и снова нажимаем «Create»:

Автоматизация конвертации существующих ярлыков в DEM

К сожалению, встроенной опции конвертации имеющихся в системе ярлыков в DEM пока не представлено. Однако если такая задача встала в процессе администрирования, ее можно выполнить, причем, удобно автоматизировав процесс. Согласитесь, если предстоит это сделать для множества ярлыков, ручной метод здесь, мягко говоря, затратен и долог. Но, если использовать один замечательный скрипт, все существенно упрощается.

Этот PowerShell-скрипт можно найти на GitHub, где он и получает апдейты. Загружаем его оттуда, открываем командную строку PowerShell и запускаем этот скрипт:

Либо же кликаем на него правой кнопкой в Windows Explorer и выбираем «Run with PowerShell»:

Ищем папку-источник, содержащую ярлыки («.lnk»-файлы):

Выбираем целевую папку, где должны сохраняться XML-файлы DEM:

Копируем их на файловый ресурс конфигурации DEM (по очереди или комплектом):

(Обычно, эта локация выглядит, примерно, так: «\\server\demconfigshare$\general\FlexRepository\Shortcut»).

Инициация хранения файла Outlook OST на записываемых томах App Volumes

Заходим на вкладку «User Environment» и кликаем правой кнопкой на «App Volumes», чтобы создать новую настройку:

Заполняем все поля появившегося окна по своему усмотрению.

Важно! Этот параметр применим исключительно к новым профилям Outlook.

Экспорт/импорт FTA

Последние версии Windows 10 и Server 2016 идут рука об руку с проблемами в настройке и импорте/экспорте ассоциаций файловых типов (FTA), настройкой дефолтных приложений из панели «Settings», а также сконфигурированных пользователями ассоциаций FTA/App в нестабильных средах. Разработаны очень полезные файлы «GetUserFTA.exe» и «SetUserFTA.exe», которые в комплекте с нужными настройками DEM позволяют их нивелировать, занимаясь бекапированием и сохранением ассоциаций файловых типов при логоффе и логоне.

Для начала нам нужно создать задачу при входе на вкладке «User Environment» консоли DEM, задав параметры по аналогии с тем, как мы делали это в «Настройка DEM GPO и FlexEngine» выше, обязательно обратив внимание на опцию «Run task After profile archive import», либо же из командной строки, запустив:

cmd.exe /c “”C:\Program Files (x86)\<…>\SetUserFTA\SetUserFTA.exe” “%LOCALAPPDATA%\Microsoft\Windows\UserFTA.config“”

Затем создаем задачу логоффа там же с той же опцией из консоли, или из командной строки:

cmd.exe /c “”C:\Program Files (x86)\<…>\SetUserFTA\SetUserFTA.exe” get > “%LOCALAPPDATA%\Microsoft\Windows\UserFTA.config””

Теперь создаем новый файл конфигурации (см. предыдущий подраздел), в котором должны быть следующие строки:

[IncludeRegistryTrees]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts

HKCU\SOFTWARE\Microsoft\Windows\Shell\Associations

HKCU\Software\Classes

HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts

 

[ExcludeRegistryTrees]

HKCU\Software\Classes\Software

HKCU\Software\Classes\Local Settings

 

[IncludeFiles]

<LocalAppData>\Microsoft\Windows\UserFTA.config

Настройки DEM для непередаваемых cookies в смешанных средах с Windows 7 и Windows 10

Для создания новой пользовательской конфигурации для cookies под Windows 10 на вкладке «Import/Export» нужно добавить следующие строки:

[includeFolderTrees]

<LocalAppData>\MicrosoftEdge\Cookies

<LocalAppData>\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\INetCookies

<LocalAppData>\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\Cookies

<LocalAppData>\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\INetCookies

<LocalAppData>\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cookies

<LocalAppData>\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\User\Default\DOMStore

<LocalAppData>\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\INetCookies

<LocalAppData>\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\Cookies

<LocalAppData>\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\#!002\MicrosoftEdge\User\Default\DOMStore

После этого добавляется условие для лимитирования только Windows 10 и новый config-файл сохраняется кнопкой «Save».

Обновление DEM до 2009-й версии

Если вы пользуетесь предыдущими версиями DEM, чтобы получить доступ к таким новейшим функциям решения, как повышенные привилегии, и прочим, придется обновиться до 2009-й. Процесс этот не представляет собой ничего экзотического, однако отличается рядом нюансов, которые и будут освещены ниже.

Подготовка к апгрейду DEM

Важно! При апгрейде существующей версии следует вначале обновить FlexEngine на агентах Horizon. Затем следует грейдить консоль, а только после – ADMX-файлы.

Подготовка к обновлению включает в себя несколько этапов, первым из которых является создание файловых ресурсов DEM (если не были подготовлены ранее), импорт GPO ADMX-шаблонов, создание GPO для Horizon и настройка их под DEM. Про GPO в Horizon самым подробным образом будем говорить в статье «Базовые инструменты администрирования VMware Horizon 8 Version 2012 и настройка групповых политик», так что, если эта тема пока для читателя нова, стоит подождать ее выпуска (надеемся, совсем недолго), и тогда у вас будет сборка комплексных материалов по управлению политиками и профилями в Horizon.

Также нужно скачать, как и в случае подготовки к первой установке DEM, соответствующий инсталлятор с сайта загрузок VMware по ссылке в соответствии с уровнем лицензии.

Если какие-либо старые файлы присутствуют в папке «PolicyDefinitions» (от UEM 9.8 и старше), их необходимо вначале удалить:

Процедура обновления DEM до версии 2009

Для DEM встроенного Lifecycle Management, как и для, к примеру, недавно изученного нами продукта VMware App Volumes, не существует – апгрейд этого решения до более новых версий означает стандартную установку с нуля. Поэтому, после прохождения всех этапов подготовки к этой процедуре, просто следуем рекомендациям главы «Разворот и начальная настройка DEM» выше.

Конечно, в этой статье удалось осветить далеко не все аспекты работы с Dynamic Environment Manager. Однако мы постарались охватить тот минимум, который позволит без проблем интегрировать это решение в существующую десктопную виртуализацию и пользоваться его базовым функционалом. С целью получения информации, выходящей за диапазон вопросов этого гайда, глубокого понимания его применения в мульти-средах, рекомендуем обращаться к сертифицированным в этой области консультантам, читать блоги коммьюнити, а также тестировать функционал на VMware HOL. Ну и, конечно же, добро пожаловать на авторизованные курсы вендора по теме «Horizon»!

No related posts.