Окружим цифрой пользователя

Удаленная работа с нами останется надолго и за пределами бушующей сегодня пандемии. 74% компаний из 317, опрошенных Gartner, продолжат использовать дистанционный формат работы. ИТ-инструменты для ее организации будут активно востребованы в будущем. Представляем обзор продукта Citrix Workspace Environment Manager – неотъемлемого элемента для создания цифрового рабочего пространства. В этом материале рассмотрим архитектуру и основные возможности продукта.

e0254b3b53272c653ee3436e93baa63d.jpg


Архитектура решения


Citrix WEM имеет классическую клиент\серверную архитектуру решения.

9e469555596ed2135c9ad264fc22dbcc.png


WEM agent \ WEM агент – клиентская часть ПО Citrix WEM. Устанавливается на рабочие места (виртуальные или физические, однопользовательские (VDI) или многопользовательские (терминальные серверы)) для управления окружением пользователей.

WEM Infrastructure services \ инфраструктурные службы – серверная часть, обеспечивающая обслуживание агентов WEM.

MS SQL Server – сервер СУБД необходимый для обслуживания базы данных WEM, где хранится конфигурационная информация Citrix WEM.

WEM administration console – консоль управления окружением WEM.

Сделаем небольшую корректировку в описании компонента WEM Infrastructure services на сайте Citrix (см. скриншот):

0fb38f1c03b04d3e768bb400b175e410.png


На сайте ошибочно указано, что WEM Infrastructure services устанавливается на терминальный сервер. Это не так. На терминальных серверах устанавливается WEM agent для управления окружением пользователей. Кроме того, невозможно выполнить установку WEM agnet и сервер WEM на одном сервере. Для работы WEM сервера роль терминальных служб не требуется. Этот компонент является инфраструктурным и как любой сервис его желательно размещать на отдельно выделенном сервере. Один сервер WEM c характеристиками 4 vCPUs, 8 GB RAM способен обслуживать до 3000 пользователей. Чтобы обеспечить отказоустойчивость, стоит установить в окружении минимум два сервера WEM.

Основные возможности


Одной из задач ИT-администраторов является организация рабочего пространства пользователей. Рабочие инструменты, которыми пользуются сотрудники, должны быть под рукой и настроены нужным образом. Администраторам необходимо обеспечить доступ к приложениям (разместить ярлыки на рабочем столе и меню «Пуск», настроить ассоциацию файлов), обеспечить доступ к информационным ресурсам (подключить сетевые диски), подключить сетевые принтеры, возможность централизованного хранения документов пользователя, обеспечить возможность пользователям выполнять настройки своего окружения и главное – обеспечить комфортную работу пользователей. С другой стороны, администраторы отвечают за безопасность данных в зависимости от тех или иных условий, в которых работает пользователь и условий соблюдения лицензионной политики ПО. Для решения этих задач и предназначен Citrix WEM.

Итак, основные возможности Citrix WEM:

  • управление рабочим окружением пользователей
  • управление потреблением вычислительных ресурсов
  • ограничение доступа к приложениям
  • управление физическими рабочими станциями


Управление рабочим окружением пользователей


Какие возможности дает Citrix WEM для управления параметрами создания рабочего окружения пользователей? На рисунке ниже представлена консоль управления Citrix Workspace Environment Manager. В разделе Action перечислены действия, которые администратор может применять для настройки рабочего окружения. А именно создавать ярлыки приложений на рабочем столе и в меню «Пуск» (в том числе и для опубликованных приложений через интеграцию с Citrix Storefront, а также возможность назначения горячих клавиш для быстрого запуска приложений и координаты для расположения ярлыков в определенном месте экрана), подключать сетевые принтеры и сетевые диски, создавать виртуальные диски, управлять ключами реестра, создавать переменные окружения, настраивать маппирование COM и LPT портов в сессии, модифицировать INI файлы, запускать программы\скрипты (во время операций LogOn, LogOff, Reconnect), управлять файлами и папками (создавать\копировать\удалять файлы и папки), создавать User DSN для настройки подключения к БД на сервере SQL, настраивать ассоциации файлов.

e8c7fdc7ec71e24b467b64e5513ddb8b.png


Для удобства администрирования, созданные «действия» можно объединять в группы Action Group.

Чтобы применить созданные действия, их нужно назначить на группу безопасности или УЗ пользователя домена на вкладке Assignments. На рисунке ниже показан раздел Assessments и процесс назначения созданных «действий». Можно назначить Action Group со всеми входящими в нее «действиями» или добавлять необходимый набор «действий» по отдельности, перетаскивая их из левой колонки Available в правую Assigned.

93f86cbcca43805d7e895e0a49781326.png


Назначая «действия», нужно выбрать фильтр, по результатам анализа которого система будет определять необходимость применения тех или иных «действий». По умолчанию в системе создается один фильтр Always True. При его использовании все назначенные «действия» применяются всегда. Для более гибкого управления администраторы создают свои фильтры в разделе Filters. Фильтр состоит из двух частей: «Условия» (Conditions) и «Правила» (Rules). На рисунке показаны два раздела, в левой части окно с созданием условия, а в правой правило, содержащее выбранные условия для применения нужного «действия».

9d97ed84828f2e4f344960325d6eb1c6.png


В консоли доступно достаточно большое количество «условий» – на рисунке отображена только часть из них. Кроме проверки принадлежности к сайту или группе Active Directory, отдельных атрибутов AD доступны фильтры для проверки наименования ПК или IP адресов, соответствия версии ОС, проверка соответствия даты и времени, тип опубликованных ресурсов и т.д.

Кроме управления настройками рабочего окружения пользователей через применение Action, в консоли Citrix WEM имеется еще один большой раздел. Этот раздел называется Policies and Profiles. Он предоставляет возможность дополнительных настроек. Раздел состоит из трех подразделов: Environmental Settings, Microsoft USV Settings и Citrix Profile Management Settings.

Environmental Settings включает в себя большое число настроек, тематически сгруппированных по нескольким вкладкам. Их названия говорят сами за себя. Посмотрим какие возможности доступны администраторам для формирования окружения пользователей.

Вкладка Start Menu:

c933c21076db5f0edd973b366d07c47c.png


Вкладка Desktop:

8d4d3e431603b33095924e0ee3325dfe.png


Вкладка Windows Explorer:

3f56133cfcd544ef29ce980c2c4cf930.png


Вкладка Control Panel:

b6befa2fb5975d50888ebbaf07b96985.png


Вкладка SBC\HVD Tuning:

309e417acf78768a09b0ed5d8082ec13.png


Настройки из раздела Microsoft USV Settings пропустим. В данном блоке настраиваются штатные компоненты Microsoft – Folder Redirection и Roaming Profiles аналогично настройкам в групповых политиках.

91f838fcea0fc660bda95c6e3b4894fd.png


И последний подраздел – это Citrix Profile Management Settings. Он отвечает за настройку Citrix UPM, предназначенного для управления профилями пользователей. Настроек в этом разделе больше, чем в предыдущих двух вместе взятых. Настройки сгруппированы по разделам и организованы в виде вкладок и соответствуют настройкам Citrix UPM в консоли Citrix Studio. Ниже рисунок с вкладкой Main Citrix Profile Management Settings и перечень доступных вкладок добавлен для общего представления.

f210e084dcacc7f3442694b2ba376bf0.png


Централизованное управление настройками рабочего окружения пользователя – еще не главное, что предлагает WEM. Многое из перечисленного выше функционала можно выполнить с помощью стандартных групповых политик. Преимущество WEM в том, как эти настройки применяются. Стандартные политики используются во время подключения пользователей последовательно друг за другом. И только после применения всех политик процесс входа (logon) в систему завершается и пользователю становится доступен рабочий стол. Чем больше настроек задействовано через групповые политики, тем больше времени требуется для их применения. Это серьезно удлиняет время входа в систему. В отличие от групповых политик, агент WEM меняет порядок обработки и применяет настройки в несколько потоков параллельно и асинхронно. Время входа пользователя в систему значительно снижается.

Преимущество применения настроек через Citrix WEM над групповыми политиками продемонстрировано на видео.


Управление потреблением вычислительных ресурсов


Рассмотрим другой аспект использования Citrix WEM, а именно возможность оптимизации системы в части управления потреблением ресурсов (Resource Management). Настройки находятся в разделе System Optimization и подразделяются на несколько блоков:

  • CPU Management
  • Memory Management
  • I\O Management
  • Fast Logoff
  • Citrix Optimizer


CPU management содержит параметры для управления процессорными ресурсами: ограничение потребления ресурсов в целом, обработка скачков\всплесков потребления процессорных ресурсов и приоритизация ресурсов на уровне приложений. Основные настройки расположены на вкладке CPU Manager Settings и представлены на рисунке ниже.

3915bdb2d9d027399f3048ce046a8b67.png


В целом назначение параметров понятно из их названия. Интересна возможность управления процессорными ресурсами, которую Citrix называет «умная» оптимизация – CPU\Intelligent CPU optimization. Под громким названием скрывается простой, но достаточно эффектный функционал. При запуске приложения процессу назначается максимальный приоритет использования CPU. Это обеспечивает быстрый запуск приложения и в целом повышает уровень комфорта при работе с системой. Вся «магия» в видео.


В разделах Memory Management и I\O Management настроек мало, а суть их предельна проста: управление памятью и процессом ввода-вывода при работе с диском. Управление памятью включено по умолчанию и применятся для всех процессов. При запуске приложения его процессы резервируют для своей работы часть оперативной памяти. Как правило, этот задел больше, чем необходим в данный момент, – резерв создается «на вырост», чтобы обеспечить быструю работу приложения. Оптимизация памяти заключается в освобождении памяти у тех процессов, которые находились в течение установленного времени в неактивном состоянии (Idles State). Достигается это за счет переноса неиспользуемых страниц памяти в файл подкачки. Оптимизация дисковой активности достигается благодаря назначению приоритетов для приложений. На рисунке ниже представлены доступные для использования параметры.

f57a9681d2893804545d4434be2136e5.png


Рассмотрим раздел Fast Logoff. При обычном завершении сеанса работы, пользователь видит, как закрываются приложения, копируется профиль и пр. При использовании опции Fast Logoff агент WEM отслеживает вызов завершения сеанса работы (Log Off) и отключает сессию пользователя – переводит ее в состояние Disconnect. Для пользователя завершение сеанса происходит мгновенно. А система штатно завершает все рабочие процессы в «фоне». Опция Fast Logoff включается одной «галкой», но могут быть назначены исключения.

dfebbb24509bfc05f0e375f798d817f1.png


И, наконец раздел, Citrix Optimizer. Администраторам Citrix хорошо известен инструмент для оптимизации «золотого образа» – Citrix Optimizer. Это инструмент интегрирован в Citrix WEM 2003. На рисунке ниже представлен перечень доступных шаблонов.

6580bffc46066e3f7722352bdc0b603e.png


Администраторы могут редактировать текущие шаблоны, создавать новые, просматривать установленные в шаблонах параметры. Окно с настройками – на рисунке ниже.

b412605f55825978e6233b5065dbeec1.png


Ограничение доступа к приложениям


Citrix WEM можно использовать для ограничения запуска\установки приложений, выполнения скриптов, загрузки DLL – библиотек. Эти настройки собраны в разделе Security. На рисунке ниже перечислены правила, которые система предлагает создать по умолчанию для каждого из подразделов и по умолчанию все разрешено. Администраторы могут переопределять эти настройки или создавать новые, для каждого правила доступно одно из двух действий – Allow\Deny. В скобках с названием подраздела указано количество созданных в нем правил. В разделе Application Security своих настроек нет, в нем отображаются все правила из его подразделов. Кроме создания правил, администраторы могут импортировать существующие правила AppLocker, если он используется в организации, и централизованно управлять настройками окружения из одной консоли.

d35f935fd2cbe1a67bd790f53a6782e3.png


В разделе Process management можно создавать черные и белые списки для ограничения запуска приложений по именам исполняемых файлов.

347e37e1a62bd87b579f71e3a66dab55.png


Управление физическими рабочими станциями


Предыдущие настройки нам были интересны для управления ресурсами и параметрами формирования рабочего окружения пользователей в части работы с VDI и терминальными серверами. Что предлагает Citrix для управления физическими рабочими станциями, с которых осуществляется подключение? Возможности WEM, освещенные выше, могут применяться к физическим рабочим станциям. Кроме этого инструмент позволяет «превратить» ПК в «тонкий клиент». Это преобразование происходит при блокировании доступа пользователей к рабочему столу и использованию встроенных возможностей Windows в целом. Вместо рабочего стола, запускается графическая оболочка агента WEM (используется тот же самый агент WEM, что и на VDI\RDSH), в интерфейсе которой отображаются опубликованные ресурсы Citrix. У Citrix есть ПО Citrix DesktopLock, которое так же позволяет трансформировать ПК в «ТК», но возможности Citrix WЕМ шире. Ниже приведены изображения основных параметров, которые можно использовать для управления физическими компьютерами.

c7f1c1cce46cd797a7e105e87cbc3553.png


1d6f8d212bff2f0dde5ed953fd476a9f.png


c56337e090f563f335cefeab1aabfa33.png


Ниже представлен скриншот как выглядит рабочее место после трансформации его в «тонкий клиент». В выпадающем меню «Параметры» перечислены элементы, с помощью которых пользователь может настроить окружение по своему усмотрению. Часть из них или все элементы можно убрать из интерфейса.

9b930cc9e2070c963496c885cacf4bf2.png


Администраторы могут централизованно добавлять в раздел «Сайты» ссылки на веб-ресурсы компании, а в раздел «Инструменты» приложения, установленные на физических ПК, необходимые для работы пользователей. Например, полезно добавить в «Сайты» ссылку на портал техподдержки пользователей, где сотрудник может создать заявку, если возникли проблемы с подключением к VDI.

e48a928d067c1d1bd117fcdf25aa8a5f.png


Назвать полноценным «тонким клиентом» такое решение нельзя: его возможности ограничены по сравнению с коммерческими версиями аналогичных решений. Но его достаточно, чтобы упростить и унифицировать интерфейс работы с системой, ограничить доступ пользователей к системным настройкам ПК и использовать устаревающий парк ПК в качестве временной альтернативы специализированным решениям.

***

Итак, резюмируем обзор Citrix WEM. Продукт «умеет»:

  • управлять параметрами рабочего окружения пользователей
  • управлять ресурсами: процессор, память, диск
  • обеспечивать быстрый вход\выход из Системы (LogOn\LogOff) и запуск приложений
  • ограничивать использование приложений
  • трансформировать ПК в «тонкие клиенты»


Конечно, можно со скепсисом оценивать демонстрационные ролики использования WEM. Как показывает наш опыт, у большинства компаний, не использующих WEM, среднее время входа составляет 50-60 секунд, что не сильно отличается от времени на видео. С WEM время входа в систему можно существенно сократить. Также используя простые правила управления ресурсами компании, можно увеличить плотность пользователей на сервер или обеспечить лучшее качество работы с системой для текущих пользователей.

Citrix WEM хорошо вписывается в концепцию «цифрового рабочего места», доступен для всех пользователей Citrix Virtual Apps And Desktop начиная с редакции Advanced и при наличии действующей поддержки Customer Success Services.

Автор: Валерий Новиков, ведущий инженер-проектировщик вычислительных комплексов «Инфосистемы Джет»

© Habrahabr.ru