Знайомтеся, система керування користувальницьким оточенням, Norskale VUEM

Введення

Серед безлічі завдань, що стоять перед службою IT в області управління інфомаційним середовищем підприємства, одним з головних є підтримка та обслуговування користувацького оточення. Перш за все, необхідно представити користувачам максимально зручний і в той же час безпечний робочий простір для ефективного виконання своїх функцій. З цією дилемою і зараз стикаються багато системних адміністраторів.

З розвитком високих технологій зростають і вимоги до користувацького робочого оточення, як з боку самих користувачів (доступ до більшої кількості локальних і мережевих ресурсів), так і з боку IT (нові додатки вимагають більше обчислювальних потужностей).

Прихід ери віртуалізації ще більше підвищив важливість управління користувальницьким оточенням у зв'язку з переміщенням його з фізичних робочих станцій в Дата-центри (віртуальні робочі столи, термінальні сервери). В результаті, розподілене користувацьке середовище вимагає більш складного і комплексного налаштування і підтримки, що в свою чергу призводить до зниження його продуктивності, так як стандартні засоби управління (групові політики, логон-скрипти і т. д.) не справляються із завданням в нових умовах. Це спонукає службу IT придивитися до спеціалізованих рішень для даного завдання.

Одним з таких рішень є Norskale VUEM, про який і піде мова нижче.

Огляд можливостей

Norskale VUEM - це повнофункціональне рішення для управління користувальницьким оточенням (User Environment Management).

До основних особливостей можна віднести:

  1. Проста архітектура навіть для комплексних середовищ;
  2. Простота розгортання і налаштування. Для розгортання пілотного оточення достатньо 1 дня;
  3. Можливість заміни скриптів входу (logon-scripts), а також GPP (Group Policy Preferences) і GPO (Group Policy Objects), що відповідають за налаштування середовища користувача;
  4. Гнучкість при призначенні ресурсів користувачам за рахунок створення правил і умов;
  5. Підвищення продуктивності робочої станції за рахунок оптимізації використання ресурсів процесора і пам'яті;
  6. Можливість контролювати процеси без необхідності налаштовувати AppLocker або Software Restriction Policy;
  7. Миттєвий вихід із системи при закритті сесії за рахунок технології Fast Logoff;
  8. Підтримка Citrix User Profile Management;
  9. Можливість надання користувачам функцій Self-Service без порушення рівня безпеки оточення;
  10. Можливість перетворення застарілих робочих станцій на повнофункціональні «тонкі клієнти» за допомогою Transformer.

Далі розглянемо особливості архітектури рішення VUEM, а також основні етапи його встановлення та базового налаштування.

Архітектура

Рішення складається з таких компонентів:

  1. Брокер, що виконує управлінську функцію. З одного боку, взаємодіє з агентами, призначаючи їм політики і параметри оточення. З іншого боку, відповідає за збереження налаштувань середовища у виділеній базі даних.
  2. База даних. Відповідає за зберігання конфігурації всього середовища VUEM.
  3. Агенти. Клієнтський компонент, встановлений на робочі станції та сервери, для керування якими і розгортається все середовище VUEM. До головних завдань агента відносяться взаємодія з брокером для отримання параметрів політик і застосування цих параметрів до локальної системи. Прямого доступу до бази даних агенти не мають.
  4. Консоль управління. Основний інструмент керування оточенням VUEM, включаючи налаштування агентів і параметрів користувацького робочого простору.

Схематично, взаємодія компонентів VUEM можна уявити наступним чином:

У логічній структурі середовища VUEM основним елементом є сайт, що являє собою не що інше, як логічну групу агентів, пов'язаних загальністю параметрів оточення, наприклад, робочі станції, що працюють в режимі кіоску або термінальні сервери. Крім загальних параметрів середовища (налаштування стільниці, меню Start, провідника Windows тощо), у рамках сайту можна налаштовувати доступ до ресурсів (програми, принтери, мережеві диски тощо) для індивідуальних груп користувачів.

Практика показує, що переважна більшість сценаріїв впровадження VUEM передбачає наявність більше одного сайту. Хоча оптимальна кількість сайтів VUEM має визначатися на етапі проектування архітектури VUEM, помилки проектування не є критичними і не призводять, як правило, до перероблення всього оточення. Сайти легко можна додавати і видаляти, а також пов'язувати з ними агентів, після установки.

Приклад щодо нескладної архітектури представлений на такій схемі:

Навіть у разі більш складної інфраструктури з наявністю віддалених офісів з обмеженою смугою пропускання, рішення VUEM можна спроектувати оптимальним чином:

Примітка:

У режимі «Local Mode» брокер використовує вбудований локальний кеш замість постійного звернення до бази даних. База даних використовується тільки в разі відсутності необхідних даних у кеші, що призводить до оптимізації використання смуги пропускання між центральним і віддаленими офісами.

Встановлення і початкові налаштування

Як будь-яке програмне забезпечення, компоненти VUEM мають низку програмно-апаратних вимог до інформаційного середовища, в якому вони розгортаються. Перш за все, варто відзначити, що в якості операційної системи, як для брокера, так і для агентів можна використовувати будь-яку, починаючи з Windows XP SP3, включаючи серверні ОС від Windows Server 2003.

Перед тим, як приступити до встановлення будь-якого з компонентів, необхідно переконатися в наявність елемента .NET Framework 4.0 або встановити його попередньо при необхідності. Інші необхідні елементи (наприклад, SQL Server Compact Edition, MS Sync Framework) будуть встановлені автоматично в процесі інсталяції.

Як базу даних VUEM підтримує тільки Microsoft SQL Server (включаючи редакцію Express), починаючи з версії 2005.

Процес розгортання рішення VUEM можна розділити на наступні етапи:

  1. Встановлення сервера баз даних. Попередньо створювати і налаштовувати саму базу даних не потрібно.
  2. Встановлення брокера;
  3. Створення та налаштування бази даних;
  4. Підключення брокера до бази даних;
  5. Встановлення консолі управління;
  6. Встановлення агентів;
  7. Призначення агентів відповідним сайтам;
  8. Налаштування потрібних елементів сайтів.

Як можна помітити, кожен компонент середовища встановлюється окремо і незалежно, а потім налаштовуються необхідні зв'язки між ними.

Процес встановлення компонентів VUEM (брокера, консолі керування та агентів) максимально простий і полягає у запуску відповідного виконуваного файлу і сліпого слідування майстру установки натисканням кнопки Next. Єдиний параметр, який можна змінити під час встановлення, - це шлях до установчої теки.

Успішність встановлення даних компонентів можна перевірити наявністю сервісу Norskale Infrastructure Service для брокера і Norskale Agent Host Service для агента.

Перше, що потрібно виконати після встановлення брокера, це створити і налаштувати базу даних для середовища VUEM. Для цього необхідно скористатися утилітою Database Management, встановленою в процесі установки брокера.

Далі, необхідно запустити майстер створення бази даних, натиснувши Create Database.

На першій сторінці вказується інформація про базу даних (назва сервера, назва і шлях до самої бази даних):

ВАЖЛИВО:

Значення параметрів Data File і Log File встановлюються автоматично і вказують на розташування фалів, прийняте за замовчуванням при установці SQL Server. Якщо існуючий сервер SQL використовує інші шляхи, їх слід вказати тут вручну. Якщо цього не зробити, то після закінчення майстра з'явиться малоінформативне повідомлення про помилку «Database creation error!».

Перейшовши до наступної сторінки майстра, вам слід вказати обліковий запис, за допомогою якого буде створено базу даних.

Типовим є обліковий запис користувача, який запустив майстер налаштувань. Якщо цей користувач не володіє достатніми дозволами для створення бази даних, необхідно або вимкнути опцію Use Integrated Connection та вказати внутрішній обліковий запис SQL-сервера, або здійснити вхід до системи під іншим користувачем.

Далі, необхідно визначити групу адміністраторів оточення VUEM, а також обліковий запис, під яким брокер буде підключатися до бази даних.

Примітка:

Якщо не вказати обліковий запис для брокера, майстер створить внутрішній обліковий запис vuemUser на сервері SQL з необхідними повноваженнями.

На останній сторінці майстра, після перевірки правильності введених даних, необхідно запустити процес створення бази даних, натиснувши Create Database.

Після отримання підтвердження про успішне створення бази, майстер установки можна закрити, також як і саму утиліту Database Management.

На наступному етапі необхідно зв'язати брокер зі створеною раніше базою даних за допомогою утиліти Broker Service Configuration (встановлюється також разом з брокером):

Для застосування та збереження налаштувань необхідно натиснути Save Configuration, що перезапустить службу брокера Norskale Infrastructure Service.

Тепер серверна частина середовища VUEM готова до подальшого налаштування.

Знайомство з консолью керування

Як було згадано вище, для налаштування середовища VUEM використовується окрема консоль, яка встановлюється незалежно.

При першому відкритті консолі Norskale Administration Console необхідно вручну з'єднатися до брокера, натиснувши кнопку Connect.

У вікні, що відкрилося, вказавши назву брокера і порт, натиснути Connect для з'єднання.

Примітка:

Для того, щоб дане вікно не з'являлося при кожному відкритті консолі, достатньо активувати автоматичний адміністративний вхід:

Після відкриття консоль має такий вигляд:

На перший погляд, різноманіття розділів з різними параметрами може відлякати недосвідченого адміністратора, створивши помилкове враження про складність управління оточенням. Якщо придивитися до кожного розділу уважніше, то призначення переважної більшості параметрів стане очевидним і інтуїтивно-зрозумілим. Загалом, якщо Ви мали справу з налаштуванням середовища користувача за допомогою групових політик, то Вам вже знайома велика частина консолі управління.

Тим не менш, у наступній таблиці наведу короткий опис кожного з розділів:

Розділ

Призначення

Коментар

Actions

Локальні ресурси, доступ до яких необхідно контролювати

Дуже нагадує структуру Group Policy Preferences, чи не так? По своїй суті це вони і є.

Filters

Умови та правила, за якими ресурси надаються користувачам

Якщо користувач або його робоча станція задовольняють умовами, ресурс буде доступний

Assignments

Призначення ресурсів користувачам із зазначенням умов з розділу Filters

Перш ніж призначити ресурс користувачеві, ви повинні додати до розділу Configured Users

Configured Users

Користувачі, чий доступ до ресурсів необхідно контролювати

Можна вказати як індивідуальних користувачів, так і їх групи. За допомогою пріоритетів вирішуються конфлікти при призначенні ресурсів

SystemUtilities

Технології оптимізації, CPU\RAM, а також білий і чорний списки процесів

 

PoliciesandProfiles

Основний набір параметрів для налаштування середовища користувача. Також включає налаштування Citrix User Profile Management і Microsoft User State Virtualisation

Саме ці параметри зазвичай налаштовуються в групових політиках

TransformerSettings

Виділений розділ для активації та налаштування режиму кіоску на робочій станції, по суті, трансформуючи її в тонкого клієнта

 

Advanced Settings

Параметри для налаштування агентів, а також для додаткового тюнінгу всього середовища

Частина параметрів є обов'язковою для нормальної роботи середовища

Administration

Дозволяє делегувати повноваження з управління оточенням, а також переглядати журнал змін і коротку статистику користувачів

 

Для більшої наочності сухого опису консолі, нижче наведені приклади деяких налаштувань оточення:

Встановлення та налаштування агента

Як говорилося вище, агентом в оточенні VUEM може бути як робоча станція, так і сервер. Загалом, будь-який комп'ютер під керуванням ОС Windows, на якому може розташовуватися робочий простір користувача (загальні або корпоративні робочі станції, термінальні сервери і т. д.) .Для того, щоб з робочої станції або сервера зробити агента VUEM досить встановити спеціальний програмний модуль, що не обтяжує систему своєю ресурсомісткістю (використовує не більше 20Mb RAM). Саме він періодично зв'язується з брокером для відстеження і контролю параметрів робочого середовища користувача, налаштованих у консолі управління.

Подібно до брокера, встановлення агента просте і не містить будь-яких параметрів крім шляху до установчої теки. Але ж для нормального функціонування йому необхідно знати як мінімум назву сайту, якому він належить і ім'я брокера. Для налаштування цих параметрів можна скористатися доданим адміністративним шаблоном для групових політиків.

У процесі своєї роботи на робочій станції, єдине, що видає присутність агента VUEM, це іконка в системній області повідомлень на панелі завдань:

При оновленні параметрів на короткий час з'являється вікно:

Якщо необхідно, обидва ці елементи можна приховати в консолі управління. Там же можна налаштувати й інші параметри агента, що змінюють як його зовнішній вигляд, так і поведінку при взаємодії з брокером:

Параметри агента, як і більшість інших параметрів у консолі, є глобальними для всього сайту VUEM і застосовуються до робочої станції незалежно від підключеного користувача.

Деяка частина параметрів агента тісно пов'язана з налаштуваннями навколишнього середовища, виконаними в інших розділах консолі. Тому, для того щоб визначити які з них потрібно активувати, важливо розуміти призначення самого сайту, точніше робочих станцій\серверів, що входять до його складу.

Наприклад, створений сайт для обмеження доступу до стільниці та параметрів середовища. Призначення ресурсів (ярликів додатків, мережевих дисків та ін.) на робочих станціях не потрібно. У даному випадку немає потреби активувати для агента розділ Advanced Settings\Main Configuration\Agent Actions (див. знімок вище).

Transformer

Transformer - це додатковий компонент VUEM з окремим ліцензуванням. Головне завдання даного компонента - трансформувати робочу станцію в «тонкий клієнт», позбавивши, таким чином, службу IT від необхідності утилізувати застарілий парк комп'ютерів.

Для використання Transformer, на робочій станції не потрібно встановлювати додаткове ПЗ, крім самого агента VUEM. Для налаштування компонента в консолі керування виділено окремий розділ, «Transformer Settings», що дозволяє не тільки обмежити доступ до локальних ресурсів комп'ютера, але і вказати додаткові параметри для таких середовищ, як Citrix XenApp/XenDesktop, VMware View і Microsoft RDS.

За допомогою Transformer можна реалізувати кілька варіантів «тонких клієнтів».

Перш за все, мова йде про класичного «тонкого клієнта», на якому повністю закритий доступ до локальних ресурсів. Для нормального функціонування такого клієнта необхідно вказати адресу сервера Citrix Web Interface для отримання доступу до віддалених ресурсів.

На знімках нижче представлено приклад налаштування Transformer для даного сценарію, а також зовнішній вигляд робочої станції в ролі «тонкого клієнта».

Крім безпосередньої активації Transformer, необхідно виконати додаткові параметри, щоб позбавити користувача можливості переключитися на локальний робочий стіл.

Після виконання цієї мінімальної конфігурації вигляд стільниці виглядатиме так:

Інший варіант «тонкого клієнта» являє собою робочу станцію, якою необхідно закрити вільний доступ до зовнішніх ресурсів, включаючи оточення Citrix, VMware, RDS. Більше того, стоїть завдання максимально захистити локальні ресурси робочої станції, надавши у використання виключно ті ресурси, які визначені адміністратором.

У цьому випадку, у налаштуваннях Transformer необхідно прибрати адресу сервера Web Interface і активувати панель програм, як вказано на знімку нижче:

Таким чином, замість веб-сторінки входу в середовище Citrix, користувачеві буде надано список локальних програм, створених і призначених попередньо в консолі управління VUEM.

Після цих маніпуляцій користувач отримає стільницю такого виду:

Зрозуміло, що для того, щоб запобігти доступу користувача до локальних ресурсів (диски, командний рядок, панель керування тощо) зсередини програм, необхідно також налаштувати інші параметри VUEM, мова про які йшла вище.

Ув'язнення

У даній статті представлений огляд одного з лідируючих UEM-рішень на IT-ринку, Norskale VUEM, включаючи додатковий компонент, Transformer.

Незважаючи на просту архітектуру, функціонал VUEM здатний задовольнити потреби і виправдати очікування компаній різного розміру, від невеликих офісів, до рівня підприємства. Впровадження рішення VUEM для керування робочим простором користувачів забезпечує більш високий рівень гнучкості і продуктивності середовища користувача, його однорідність при використанні в різних сценаріях. Це підвищує ступінь задоволеності користувачів зручністю своєї роботи, що призводить до кращої адаптації нових технологій.