以下博客是一系列博客之一,将讨论第三方用户环境管理解决方案的集成。该博客将专注于Liquidware ProfileUnity™配置文件管理器,并使用Nutanix框架桌面作为服务(DAAS)部署。我们将分解概要性功能和高级实现,如下所示:
- 什么是个人资料
- promentunity如何工作
- 为什么使用框架的概要名
- ProfileNity vs Frame Enterprise配置文件
- 如何用框架实现配置文件
什么是promentunity?
ProfileUnity是一种用户环境管理解决方案,它提供了包括配置文件管理和集中策略管理的全面功能,这些功能超出了传统的Microsoft集团策略以及高级功能,例如特权高程和应用程序权利管理。
具有个人资料的功能是巨大而遥远的,一些关键方面是:
- 集中的动态用户资料,应用程序管理和策略管理所有Windows工作区。
- 上下文感知过滤器应用配置文件,应用管理,策略和FlexApp交付。
- 跨混合OS版本可用于零停机迁移/共存。
- 支持物理,虚拟和云工作区 - 亚马逊工作区,Nutanix框架,Microsoft Azure,Google Cloud Platform等。
在此博客中,我们将讨论产品的特定方面,主要是在Nutanix框架部署中配置为焦点领域的用户配置文件和策略管理功能。未来的博客将使用Nutanix框架涵盖应用程序管理方面。从参考体系结构的角度出发的配置文件分解如下所示:
profimunity如何工作?
ProfileNity可作为独立产品提供,包括三个部分:
- 管理控制台 - 提供一个中心位置,管理员可以配置角色管理,用户和机器策略。
- 客户工具 - 在会话期间管理每个用户的设置和角色。
- FlexApp包装控制台(可选) - 允许管理员配置和准备任何需要为用户配置的应用程序,并通过应用程序分层作为部门安装的应用程序(DIA)提供。
用户环境通过管理控制台进行集中管理,并在数据库中进行配置和维护,以指向配置文件设置的文件共享和存储位置(Profile Netlogon或UNC共享文件夹)以及用户数据和配置持久性(ProfileNunity user数据共享或存储容器位置)。当用户登录时,在会话中,用户体验会积极配置,监视和维护,然后在logoff时通过ProfileUnity持续并写回用户数据位置。ProfileNity在许多领域都可以管理用户环境和角色。所有内容都包含在配置数据库中,并在配置文件控制台内管理。这些可以在下面列出的图中看到:
请注意上图中带有红色数字的项目,这些是设置配置的区域(所有这些区域均为ProfileNunity的默认设置)。这些红色的项目如下所示:
- 便携性设置(35)
- 用户定义的脚本(7)
- 申请发射器(15)
- 注册表(28)
- 文件夹重定向(6)
- Windows选项(1)
每个红色旁边列出的初始数字是已设置的活动配置,这是Liquidware已发现的一般最佳实践配置,可以增强Windows桌面环境中用户的环境体验和角色。
Liquidware创建了配置模板,该模板会根据您在环境中要实现的目标自动预配置设置。您还可以从管理区域添加或导入自定义模板。
配置文件部署的两个用户配置文件或特定于角色的领域可用于持久性。这些都是:
- 配置文件磁盘(VHD或VHDX)
- 便携性设置(文件和文件夹)
配置文件部署可以根据用例和要求利用或两种功能。
配置文件磁盘
配置文件磁盘是用于用户数据持久性的“ E-Z”按钮。它将仅捕获会话中的所有用户数据和更改,然后写入数据并将其更改回传统文件共享或基于云的存储模型上的已安装的配置文件。该方法消耗了更多的存储空间,但可以采用更基本的方法来持续使用用户数据。同样,不能将用户数据直接迁移到磁盘中或外出。作为选项,可以使用Microsoft FSlogix配置文件磁盘来完成类似的非管理配置文件。重要的是要注意,ProfileUnity的个人资料磁盘或FSlogix配置文件都容易受到Microsoft Profile问题(例如配置文件损坏)的影响。ProfileNunity的可移植性功能下面提到的配置文件损坏,并将功能强大的功能(例如配置文件回滚)添加到配置文件磁盘或FSlogix配置文件中。
便携性设置
可移植性设置是一种更具动态的方法,可以单独使用或与配置文件磁盘或FSlogix配置文件一起使用。配置文件可移植性存储一个文件夹和注册表在传统文件共享或基于云的存储模型中具有用户配置文件。配置文件可移植性使您可以更详细地管理用户体验,以满足更苛刻的用例要求,这些要求不仅仅是持续存在的用户数据。当与配置文件磁盘或FSlogix配置文件一起使用时,可以将配置文件设置为如果它们损坏,则可以自动治愈。配置文件也可以由管理员回滚。仅保存选择配置文件数据(智能配置文件),并且存储时也会压缩数据。当这是一项要求时,此方法使用的存储空间较少,此外,这也是用户配置文件迁移策略的理想选择,因为ProfileNity的便携式配置文件可以自动跨多个Windows OS版本工作。
过滤器管理
策略管理易于使用ProfileNity执行,其中包括一套全面的高级上下文感知过滤器,这些过滤器超出了Microsoft的项目级别的目标。ProfileUnity提供小组策略中不可用的功能。虽然您可以继续使用Microsoft Group策略(GPO)和ProfileUnity,但还可以用ProfileNunity策略替换大多数GPO,这些策略可以提供对用户的更精细控制以及他们可以访问资源的条件。
概况策略的一个明显好处是登录时间更快。Microsoft Group策略可能会很慢,无法在用户的桌面上执行。由于需要仅应用组策略或单独登录脚本的时间,用户有时可能需要几分钟的时间才能登录 - 而且这不计算实际的配置文件加载时间。组策略慢的一个主要原因是因为它们倾向于为要应用于用户的每个策略进行Microsoft Active Directory(AD)查找。该操作在网络上创建了很多开销,并需要一段时间才能处理。
ProfileNity可以根据Microsoft AD标准执行策略,但还可以利用300多个使用ProfileSunity的上下文感知过滤器定义的变量组合。ProfileUnity应用策略比Microsoft Group策略要快得多,因为在对Microsoft AD进行身份验证策略时,它执行了一个主查找。
Profiolunity上下文感知过滤器提供的颗粒状控制也可以通过精确的策略显着增强工作空间安全性,这些策略也普遍应用于环境中的所有Windows台式机。管理此操作的过滤屏幕如下所示:
为什么使用框架的概要名
那么,为什么profiolunity在使用框架时适合用户环境管理解决方案呢?下面有很多原因有很多原因:
- 多个帧帐户(和本地帐户)从一个集中式用户配置文件访问
- 迁移或共存Windows OSS - 无缝登机到新台式机 - 物理,虚拟或云
- 快速个人资料处理 - Office 365,OneDrive和类似的大型配置文件很容易使用ProfileNity的个人资料磁盘处理
- 替换漫游轮廓 - 求解轮廓可移植性,颗粒状,更快且可靠
- 交付VDI的成本较低 - 存储和管理成本较低
- 使更多用户与虚拟或云桌面兼容 - 知识工人和电源用户可以拥有他们所需的自定义和应用程序
- 提供上下文Aware Desktops - 打印机管理,设置,快捷方式等。所有这些都基于自定义过滤器
- 灾难恢复 - 在几秒钟内恢复到任何Windows桌面的角色,数据和应用程序 - 也支持多云策略
- 桌面的持续管理 - 配置设置,配置,注册表,锁定等。
- 一个中央用户管理控制台-Persona,应用程序,配置和中央迁移设置 - 用于所有Windows桌面
将配置文件与框架一起使用是最适合当您超越框架内的默认情况下的默认经验时,以实现用户环境管理和角色持久性。
让我们说,例如,您在混合云模型中(请参见下图),并使用希望在每个中心位置为用户角色的中央位置进行引用和维护的私人和公共框架帐户。或者,您希望具有相同云模型的多个帧帐户使用集中式解决方案。ProfileNity非常适合这些用例和要求。
ProfileNity与框架企业配置文件
框架企业配置文件
Nutanix框架的一个重要方面是,它已经具有一个内置的用户环境角色管理功能,称为企业配置文件。此功能是通过Liquidware和Nutanix框架之间的合作伙伴关系开发和部署的ProfileNity配置文件磁盘的OEM版本。此功能非常易于实现,并且可以在不使用完整配置文件产品的情况下完成。它标有Nutanix框架作为任何框架订阅的一部分。有关企业配置文件功能的更多详细信息,请参阅以下链接:企业配置文件 - Nutanix框架文档文档。
框架企业配置文件与完整概要名产品相比的功能如下:
框架企业配置文件 | Liquidware profilesunity |
---|---|
配置文件磁盘 | 配置文件磁盘 |
用户数据 | 高级过滤器 |
可移植性(多帧帐户用例,本地物理桌面,物理和虚拟)一起) | |
ADMX(GPO管理) | |
文件夹重定向 | |
注册表 | |
打印机管理 |
框架本机功能的一个重要缺点是它与单个帧帐户绑定,并且不能在同一用户的多个帐户中集中访问。对于跨多个帧帐户中心管理的配置文件解决方案,您需要使用完整的配置文件解决方案,并禁用此内置功能。
下表突出显示了Frame Enterprise配置文件功能的利弊:
优点 | 缺点 |
---|---|
内置框架 | 不那么灵活 |
在框架内易于管理 | 垃圾中的垃圾模型(Gigo) |
具有Microsoft标准(FSLogix VHD)的功能奇偶校验 | 没有企业功能 |
没有额外的许可费用 | 移动性(仅每个帧帐户) |
自动循环功能 | 单一可用性区(AZ),公共云中没有多区域可用性 |
集成磁盘备份解决方案 | 概况腐败的潜力 |
如何用框架实现配置文件
现在,让我们谈谈如何通过框架部署配置文件。我们将详细介绍每种产品的要求,然后详细说明在Nutanix框架环境中部署的步骤。
配置文件要求
- Microsoft Windows Active Directory(AD)需要将其客户端文件部署到桌面,并将用户指向其配置文件。
- 专用OU结构
- 基于域的文件共享(在Netlogon下)托管ProfileNunity配置文件
- 用户环境的文件共享或存储位置
- Windows Server(2008R2或更高版本)充当端口TCP端口8000访问控制台的配置文件管理服务器(不能在域控制器上)
需要以下环境访问权限来管理部署:
- Windows Active Directory域管理员或具有等效访问
- 可以创建并链接Active Directory组策略对象(GPO)
框架要求
- 框架帐户必须使用框架来宾代理(FGA)版本8.x版本
- 这
框架
用户(本地管理员组中的本地Windows用户帐户)必须被排除(通过在沙盒VM中通过提供的脚本运行一次),从处理profileUnity客户端工具在框架沙箱中的部署。 - 沙箱不应使用本地GPO进行配置文件启用。
- 框架工作负载VM将需要在框架帐户中以及在OU中进行Active Directory域 - 在OU中,配置文件和框架将管理工作负载
实施步骤
以下主要步骤是在框架环境中正确配置和部署配置文件所需的内容。这些是配置所需的最小步骤,并且是一个单一帧帐户。有关每个步骤中特定详细信息的详细信息,请参阅此博客底部的参考链接,以指导您浏览下面列出的每个主要步骤的详细子步骤(如果需要)。对于此博客中的简洁性,详细的子步骤已被拒之门外。
您还可以检查此快速启动指南:FlexApp™技术的ProfileUnity™:快速启动和评估指南。
- 在服务器上部署配置文件管理服务器和控制台(域连接)。
- 在NetLogon路径(子文件夹和共享)中设置文件共享,以托管客户端工具和配置文件。
- 配置AD OU,以根据文档使用概要名。(块继承)
- 链接配置文件GPO。
- 配置文件共享或存储容器,以托管配置文件使用用户数据。
- 配置控制台中的配置文件设置,以指向所使用的文件共享和所需的部署模型(可移植性,配置文件或两者兼而有之)。部署客户工具,应用您希望使用的任何过滤器。(例如,框架连接)。
- 使用已部署的配置文件配置和客户端工具更新框架帐户沙盒(最初,您可以从Netlogon ProfileNity共享为VM复制)。
- 从框架帐户沙盒VM中删除配置文件代理的OEM版本。
- 在沙盒VM中运行帧用户排除Powershell脚本,重新启动VM。
#获取本地框架用户的SID
$ frameusersid=((获取Localuser-姓名“框架”)。席德。价值
#从SID解析本地用户组名称
#https://support.microsoft.com/en-au/help/243330/well-nown-security-indistifiers-indistifiers-in-windows-operating-systems
$ USERGROUP=(([System.Security.Principal.SecurityIdentifier]'S-1-5-32-545')。翻译(([System.Security.Principal.NTACCOUNT])。价值。分裂((“ \”)[[1这是给予的
$ USERGROUPSID=((获取局部组-姓名“$ USERGROUP“)。席德。价值
#用于编辑的加载配置文件XML
$ XMLFILENAME=“ C:\ Program Files \ ProfileUnity \ FlexApp \ lwllogonnotifier.exe.config”
[XML]$ xmldoc=变得容易$ XMLFILENAME
#创建“分配”元素并添加排除条目
$分配=$ xmldoc。创建((“作业”)
$排除='flexdisk'-F$ USERGROUPSID
$排除+=“`r`r`n''+“排除”-F$ frameusersid
$分配。innerxml =$排除
#附加到lwllogonnotifier.exe.config
[空白](($ xmldoc。纪录片。附录(($分配))
[空白](($ xmldoc。节省(($ XMLFILENAME))
- 配置框架帐户是域连接的,并指向设置配置文件和框架的广告OU。
- 如果启用,请禁用帧帐户会话设置中的企业配置文件功能。
- 在OU中配置并启用GPO的profounity,它也链接了,然后在GPO中设置启动和注销脚本。
- 将框架沙箱发布到框架帐户仪表板中部署的VM的生产池。
- 作为用户登录到帧桌面或从其启动板中发布的应用程序并验证功能。
一旦完成了上述配置文件设置步骤,您就可以通过简单地完成所需每个帧帐户上面列出的特定于框架特定步骤来添加更多帧帐户以使用部署。
结束时,我要感谢Liquidware团队的协作和协助。Thomas Lahaussois(Thomas @Liquidware.com)和Thomas Miller(tfm@liquidware.com)每个博客都为他们提供了宝贵的帮助。
资源参考链接
- 欢迎来到框架平台文档 - Nutanix框架文档
- FlexApp™技术的ProfileUnity™:安装和配置指南
- ProfileNity高级功能概述 - 液体软件
- Nutanix XI框架DAAS平台解决方案 - 液体软件
- 带有FlexApp文档的ProfileSunity - Liquidware客户支持