Категорії
VMware: Гайди з розгортання та налаштування

Базовые инструменты администрирования VMware Horizon Version 2012 и настройка групповых политик

Продукт Horizon – разработан VMware с целью реализации идеи десктопной виртуализации. Он помогает управлять процессом создания и распределения виртуальных рабочих столов, доставки приложений пользователям. Функционал его поистине удивителен и огромен, и в предыдущей нашей статье из посвященного ему цикла «Установка VMware Horizon Version 2012 от «А» до «Я»» мы изучили его структуру и принципы работы, научились разворачивать его компоненты и осуществлять их базовую настройку, рассмотрели требования к совместимости и многие другие важные вещи, без которых десктопной виртуализации не суждено воплотиться в действительность.

Сегодня же темой нашего обсуждения станут аспекты администрирования этого решения, хотя, бесспорно, охватить весь спектр возможных ситуаций и особенностей его имплементации попросту не получится, ведь оно изначально очень четко заточено под индивидуальные задачи. Однако, в общем и целом главные инструменты этого процесса обязательно рассмотрим.

Перед началом разговора напомним, что Horizon (преимущественно Enterprise-уровня лицензий) рука об руку идет с тремя очень важными с точки зрения расширения его функционала продуктами: Unified Access Gateway (UAG), App Volumes и Dynamic Environment Manager (DEM). Первый отвечает за создание, управление и настройку удаленного туннельного соединения с внутренними машинами Horizon Agent, App Volumes – незаменимый помощник в централизованном управлении приложениями при одновременной их доставке на виртуализированные десктопы, а DEM скрупулезно персонализирует доступ пользователей, предлагая динамические настройки десктопов и приложений с помощью создания профилей и политик. Всем трем решениям мы уделяли внимание в отдельных посвященных им статьях: «Unified Access Gateway (UAG) 20.12 и Horizon 8 2012», «App Volumes в Horizon 8 2012» и «VMware Dynamic Environment Manager и Horizon 8 2012». Так что, если еще не знакомы с ними, советуем найти время и изучить их самым подробнейшим образом.

А сейчас перейдем непосредственно к задачам и инструментам администрирования Horizon 8 2012, в качестве исходных данных полагая, что у вас уже есть развернутые и базово настроенные его компоненты, либо уже давно и успешно функционирующая десктопная виртуализация, которой хочется научиться эффективнее и грамотнее управлять. Отметим, что все, касающееся внедрения Horizon в клауд-среды и его сотрудничества с Workspace ONE, будет вынесено за рамки статьи – уделим этим моментам внимание, когда будем публиковать посвященные соответствующим направлениям VMware материалы.

UI Horizon 8 2012 и его общие важные настройки

Управление в Horizon осуществляется через графический интерфейс, называемый Horizon Console. Заходить в нее мы учились в статье «Установка VMware Horizon Version 2012 от «А» до «Я»», но, напомним, что сделать это можно в браузере, вбив «https://<connection_server_FQDN>/admin» и введя учетные данные пользователя домена в локальной группе администраторов:

Интерфейс консоли выглядит примерно так:

И организация его левой панели опирается на категории объектов и их тип, и состоит из следующих секций:

  • мониторинг («Monitor»),
  • блок управления пользователями и группами («Users and Groups»),
  • инвентарь («Inventory»),
  • настройки («Settings»),
  • секция траблшуттинга («Troubleshooting»).

Выше них там же расположен блок т. н. «быстрого реагирования»: сведения о дате последнего апдейта версии продукта, отражение количества открытых на данных момент сеансов, проблемы с ВМ VCenter и RDS-хостами, события, а также замечания по системному здоровью.

В вышеупомянутой статье по развороту Horizon мы активно пользовались меню консоли в процессе начальной его настройки. Теперь же попробуем рассказать в общем, что она умеет делать еще, для чего пробежимся, вкратце, по секциям ее левой панели.

Секция «Monitor»

Здесь можно перейти непосредственно на саму панель мониторинга («Dashboard»), где будут отображены данные по системному здоровью в разрезе функциональных компонентов продукта, к событиям («Events»):

информации о сеансах («Sessions»), «Help Desk». Традиционно для мониторинга VMware, в первом разделе этой секции «Dashboard», помимо таблицы со сведениями о проблемах, правее ее расположено графическое отображение состояния рабочих процессов. Ниже же в рабочей области будут диаграммы с цветовой индикацией состояния различных типов сеансов.

Раздел «Help Desk» (доступен только при Enterprise-лицензии) представляет собой встроенные веб-инструменты техподдержки, воспользоваться которыми можно, просто введя имя пользователя в строке поиска:

По найденному имени пользователя доступны следующие информационные вкладки:

  • «Sessions»,
  • «Desktops»,
  • «Applications»,
  • «Activities».

К примеру, на вкладке «Applications» можно просматривать информацию о том, на какие приложения этому пользователю выданы разрешения:

Эти списки, при необходимости, можно даже экспортировать.

А на вкладке сеансов доступен список всех активированных подключений, и если кликнуть на ссылку по какому-то из них, будут доступны детали сеансов:

Вкладка «Details» по определенному сеансу содержит данные по использованию CPU, памяти, производительности сети и диска, и сегменты входа, а кроме того там доступны разные полезные кнопки (вверху) действий, например, «Remote Assistance»:

Вкладка «Processes» расскажет о процессах пользовательской сессии:

А «Applications» о конкретике используемых в ней приложений.

Секция «Users and Groups»

Эта секция предлагает администратору возможность выдавать права пользователям на оперирование объектами Horizon, настраивать удаленный доступ, а также неаутентифицированный доступ на соответствующих вкладках рабочей области консоли.

Секция «Inventory»

Управлениеи пулами дескотопов и приложениями немного обсуждалось в статье «Установка…».

В разделе «Desktops», если открыть мгновенно склонированный десктопный пул на редактирование, в выпадающем меню можно выбирать политику питания для удаленной машины, например, «Always Powered On»:

Кстати, выбор именно этой опции ставит ее в один ряд с устаревшими в последней версии Horizon связанными клонами.

В разделе «Applications» можно выбирать, включать или выключать индивидуальные пулы приложений:

Секция «Settings»

Настраивать Horizon можно в разделе серверов и доменов, вносить изменения в раздел лицензирования, управлять конфигурацией зарегистрированных машин и администраторами, событиями, глобальными политиками, а также Cloud Pod-архитектурой в соответствующих разделах секции «Settings».

О проверке и замене данных по лицензиям мы весьма подробно писали в статье «Установка…», поэтому здесь, думается, повторяться по этому вопросу не стоит. Напомним, функции совместного подключения пользователей к сеансам, инструменты «Help Desk», App Volumes, DEM и Rest API требуют наличия Enterprise-лицензии, а для публикации приложений (удаленного доступа) и Teams Optimization достаточно и Advanced. Что же касается операций мгновенного клонирования, они доступны на всех уровнях.

Далее акцентируем внимание на способах задания некоторых различных жизненно важных настроек в этом разделе:

  • Ограничение времени сеансов. Если зайти в «Global Settings» – «General Settings» и кликнуть на «Edit»:

в появившемся окне можно задавать кол-во минут до истечения времени сеанса консоли, а также API-сеанса, обозначать, при каких условиях и через сколько времени пользователи будут отключены силой, а также включать SSO:

Там же в «Desktop Pool Settings» можно настроить логаут после дисконнекта, выбрав в выпадающем меню «After» в пункте «Log Off After Disconnect» и задав таймаут:

  • Автоматический апдейт блока «быстрого реагирования» левой панели. Включается, если при редактировании «Global Settings» – «General Settings» поставить галочку на «Enable automatic status updates»:

  • Доступ пользователей к списку доменов. По дефолту, в последних версиях Horizon из соображений безопасности пользователи должны вводить имя домена. Однако, если поставить галочку на «Send domain list» в редактировании «Global Settings» – «General Settings», они смогут выбирать подходящий из выпадающего списка (галочку на «Hide domain list in client user interface», соответственно, нужно снять):

  • Разрешение на сбор журналов операционных событий. Чтобы в секции «Troubleshooting» стали доступными для просмотра журналы системных сообщений, следует в настройках роли администратора отразить соответствующее разрешение. Для этого в подразделе «Administrators», когда нажимаем кнопку «Add», в появившемся окне ставим галочку на «Collect Operation Logs»:

  • Подключение пользователя в статусе «Current». Клиентская функция «Log On as Current User», по умолчанию, выключена. Чтобы ее включить, в левой панели консоли этой секции «Servers» следует перейти на вкладку «Connection Servers», выбрать нужный vCenter и нажать на кнопку «Edit»:

В окне редактирования зайти на вкладку «Authentication» и поставить галочку напротив «Accept logon as current user», после чего сохранить настройку «ОК»:

  • Настройка журналов событий. За конфигурацию базы данных событий отвечает раздел «Event Configuration»:

В его рабочей зоне справа, если кликнуть на кнопку «Edit» вверху под «Event Database», можно приступить к заданию настроек:

В открывшемся окне вводим название нашего выделенного под эту БД сервера, выбираем из выпадающего меню его тип как «Microsoft SQL Server», выделенный под ее подключение порт, имя самой базы и данные учетной записи SQL-аккаунта. Опционально можно заполнить поле «Table prefix», чтобы использовать одну и ту же базу данных событий под множество инсталляций Horizon:

Помимо этой начальной настройки, если зайти в секцию «Event Settings» и нажать на «Edit» можно сконфигурировать параметры самих событий, в т. ч. возраст показываемых на консоли событий и т. д.:

Ниже аналогично можно добавить кнопкой «Add» сервер журнала событий (секция «Syslog»), а также настраиваемые опции сохранения логов в файле (схема «События – в файловую систему»):

Настройка Administrators

В секции «Settings» заходим в раздел «Administrators» и в верхнем левом углу рабочей области прямо в первой вкладке «Administrators and Groups» кликаем на кнопку «Add User or Group…»:

Откроется мини-визард, в котором по первому пункту «Select administrators or groups», если ранее не было сделано никаких записей на этот счет, нужно нажать на кнопку «Add» (или же выбрать имя из списка):

Вводим имя группы, которой следует разрешить стать Horizon Administrator и нажимаем кнопку «Find»:

После чего появится список групп, в котором напротив той, что нужна, ставим галочку в чекбоксе и жмем «ОК»:

Если нам нужна только одна группа, переходим далее кнопкой «Next», либо же повторяем этот пункт визарда для всех, что необходимы.

Важно! Если назначаете сразу несколько групп, учтите, что для всех них будет определена роль одного типа (см. ниже). Если нужны группы с разными правами, под каждый тип разрешения запускаем этот визард по отдельности.

Во втором пункте, «Select a role», будет предложен список доступных по умолчанию ролей, в т.ч. «Administrators», «Help Desk Administrators» с разными наборами специфических разрешений:

Выбираем подходящую и снова «Next».

Последним шагом будет выбор «Access Group», к которой будут применены наши разрешения. Это сделано для того, чтобы они активировались только для конкретных пулов, а не для всех существующих. Однако учтите, что далеко не все роли отличаются такой сегрегацией: глобальные роли, например, «Help Desk Administrators», применяются для всех, без исключений, и только так.

Важно! В случае интеграции Horizon с VMware Identity Manager только группа «Root» будет синхронизироваться с этим решением:

Секция «Troubleshooting»

В траблшуттинге очень полезным является раздел «Log Collection»:

Здесь можно просматривать журналы системных сообщений, узнавать, были ли ошибки и какие именно, и тому подобные привычные вещи. Разрешение на сбор логов дается в секции «Settings» (см. выше), и после того, как это сделано, в разделе «Log Collection» нужно задать систему, из которой следует их собирать:

Решение некоторых распространенных задач администрирования через консоль Horizon

В этой главе попытаемся привести список самых распространенных решаемых через консоль задач, стоящий перед администратором VDI-решений (но далеко не исчерпывающий!). Многие полезные вещи, в том числе касающиеся настройки профилей, системы доставки приложений и организации удаленного доступа, мы учились делать в рассказывающих о продуктах-спутниках Horizon материалах: «Unified Access Gateway (UAG) 20.12 и Horizon 8 2012», «App Volumes в Horizon 8 2012» и «VMware Dynamic Environment Manager и Horizon 8 2012». Все же, что касается непосредственного использования консоли десктопной виртуализации, и не относится к ключевой базисной конфигурации (см. предыдущую главу «UI Horizon 8 2012 и его общие важные настройки»), попробуем перечислить ниже, разбив, для удобства, по категориям:

  1. Глобальное и клиентское подключение,
  2. Настройка бэкапирования,
  3. Снятие снэпшотов,
  4. Работа с виртуальными десктопами и приложениями.

А также расскажем о включении перенаправления мультимедиа.

Глобальное и клиентское подключение

Темой этого подраздела станет организация множественного подключения Horizon к vCenter, отключение туннелирования, конфигурирование удаленного доступа и запрет на подключение клиентов со старых версий Horizon.

Добавление подключения к vCenter

В статье «Установка…» визард базового разворота Horizon требовал в одном из своих пунктов назначить vCenter Server, чтобы мы могли подключить Connection Server. Однако помимо этого, для нормальной работы решения, оно должно подключаться ко множеству vCenter среды. Без этого не получится создавать новые ВМ с использованием процедуры мгновенного клонирования, удовлетворять условиям НА, а также апдейтить их.

Важно! Каждый добавляемый к Horizon vCenter Server должен иметь уникальный идентификатор. Проверить можно в клиенте vSphere, зайдя на конкретный «vCenter Server» – «Configure» – «Settings» – «General» – «Edit» – «Runtime Settings», и сравнив ID по каждому инстансу vCenter.

Сама же процедура добавления нового подключения к vCenter в Horizon выглядит так:

  • Кликаем на «Servers» в секции «Settings» консоли:

  • Справа на вкладке «vCenter Servers» нажимаем кнопку «Add»:

  • Откроется мини-визард, который проходим поэтапно:

«vCenter Information». В поле «Server address» вводим FQDN vCenter Server, в поле «User Name» – ранее созданный AD-аккаунт (как это делать, расписано в материале «Установка…»), который будет использоваться Horizon в процессе входа на vCenter, и соответствующий пароль. «Next»:

«Storage». Ставим галочку в «Enable View Storage Accelerator» (нужно для реплики дисков инстант-клонов) и в поле «Default Host Cache Size» увеличиваем размер до 32768 (чем больше – тем быстрее будет происходить подготовка мгновенных клонов без родительского образа). «Next»:

«Ready to complete». Проверяем, все ли правильно ввели и жмем «Submit».

Отключение соединения по защищенному туннелю

По умолчанию, внутренние подключения клиентов Horizon к агентам через Connection Server осуществляется по туннелированному Blast или PCoIP. Но, иногда эффективнее задать прямое подключение, так как, если туннели недоступны, при попытке перезапустить Connection Server пользовательские подключения сбросятся. Чтобы отключить туннелирование нужно сделать следующее:

  • В левой панели консоли в «Settings» кликаем на «Servers» и заходим на вкладку «Connection Servers» правой рабочей области, выбираем нужный Connection Server и нажимаем на кнопку «Edit»:

  • На вкладке «General» снимаем галочки с «HTTP(S) Secure Tunnel» и «PCoIP Secure Gateway»:

  • В блоке «Blast Secure Gateway» выбираем «Use Blast Secure Gateway for only HTML Access connections to machine» и жмем «ОК»:

Ограничение удаленного доступа

Если зайти в секцию «Users and Groups», увидим, что одна из представленных вкладок рабочей области справа называется «Remote Access». Все добавленные сюда группы или пользователи получают доступ к Horizon через UAG, и только они:

Процедура инициируется по кнопке «Add», после чего в появившемся окне отражается вся требуемая для подключения конкретной группы информация.

Версионные ограничения при клиентском доступе

В случае, когда в корпоративной среде используется сразу несколько редакций Horizon, чтобы не было конфликта функционала, можно установить ограничение по подключению к клиенту минимальной версии. Для этого в левой панели консоли в секции «Settings» кликаем на «Global Settings» и на вкладке «Client Restriction Settings» нажимаем на кнопку «Edit»:

По каждому типу клиента в появившемся окне выставляем минимально допустимую версию Horizon, а также, при необходимости, ставим галочку в «Block Additional Clients» (все, не отмеченные выше клиенты вообще будут блокироваться – например, так можно заблокировать доступ по HTML), а также редактируем текст сообщений, которые будут показываться клиенту, если он попытается достучаться со слишком старой версии:

Настройка бэкапов

LDAP-бэкап Connection Server настраивается аналогично в консоли Horizon. Для этого заходим на раздел «Servers» секции «Settings» левой панели, выбираем вкладку «Connection Servers» и жмем кнопку «Backup Now»:

По умолчанию, бэкапы сохраняются в папку «C:\ProgramData\VMware\VDM\backups», но, этот адрес, как и другие настройки бэкапирования можно изменить. С этой целью нажимаем кнопку «Edit» левее «Backup Now» и переходим на вкладку «Backup» появившегося окна редактирования настроек Connection Server:

Здесь задается частота автоматического снятия бэкапов, время, когда системе следует провести эту операцию, максимальное кол-во сохраняемого, а также его местоположение.

Снятие снэпшотов

Сохранение снэпшотов – одна из чрезвычайно востребованных задач при работе с Horizon. Например, процедура эта может пригодиться в процессе создания пула идентичных ВМ, ведь они представляют собой функциональный шаблон, участвующий в процессе мгновенного клонирования, а также перед любой серьезной операцией изменения конфигурации, чтобы, если что-то пойдет не так, всегда можно было откатиться к предыдущему состоянию системы. И, наконец, без нее не обойтись при накатывании обновлений, особенно, если нет возможности вначале оттестировать их в песочнице.

В принципе, никаких особенностей по сравнению с тем, что мы изучали в разделе «Снятие снэпшота ВМ» нашей статьи «Настройка, мониторинг и администрирование VMware vSAN 7.0U1», здесь нет. Но, некоторым нюансам, все же, стоит уделить внимание.

Во-первых, перед снятием снэпшота с мастер-десктопа следует проверить, настроен ли он для DHCP:

Во-вторых, рекомендуется запустить задачи антивируса по изоляции – тут какие-то конкретные процедуры приводить нет смысла, ведь все зависит от того, чем именно пользуетесь. Перед следующими шагами обязательно нужно выключить мастер-десктоп (из командной строки «shutdown /s /t 0»). Далее следует отредактировать его настройки, отключив CD-ROM (если его не удалили, как это рекомендуется сделать в процессе подготовки «золотого образа» в подразделе «Создание оптимизированного Windows-образа для виртуальных десктопов Horizon» ниже), а также убедиться, что на ВМ не настроено ни одного ISO.

Если все устраивает, просто кликаем на эту машину в инвентаре клиента vSphere и в действиях выбираем «Take Snapshot»:

и в окне его настроек вводим имя и опционально – описание.

Включение перенаправления мультимедиа

По умолчанию функция «Multimedia Redirection» отключена. Но, ее можно сделать доступной, если в левой панели консоли в секции «Settings» зайти на «Global Policies» и нажать на «Edit Policies»:

В появившемся окне из выпадающего списка напротив «Multimedia redirection (MMR)» выбираем «Allow», после чего сохраняем настройку кнопкой «ОК»:

Важно! MMR не шифруется.

Работа с виртуальными десктопами, фермами и приложениями

Наряду с App Volumes и Dynamic Environment Manager, технология Instant Clone является краеугольным камнем платформы JMP, в чьи задачи входит гибкая, быстрая и персонализированная доставка десктопов и приложений пользователям. По первым двум решениям, как уже упоминалось ранее, мы публиковали автономные статьи здесь и здесь. Про мгновенные клоны, точнее, о процессе создания автоматизированного десктопного пула, много полезного было сказано в материале «Установка…». Однако ряд аспектов этой темы нуждается в подробнейшем пояснении. Назначения прав пользователям и процесса публикации десктопов, RDSH-ферм и приложений касаться не будем – все это было в упомянутой статье.

Создание оптимизированного Windows-образа для виртуальных десктопов Horizon

В статье «Установка…» мы учились создавать образа ВМ с Windows для Connection Server, а в процедурах разворота однопользовательского десктопного пула и  опубликованных RDSH-ферм и приложений упоминали, что нам понадобятся предварительно подготовленные золотые образа машин для них. Формат того материала не предполагал погружения в тонкости создания золотых образов и тем более не раскрывал столь важное для этой темы понятие оптимизированного Windows-образа, но, так как процесс администрирования именно на нюансах и концентрируется, самое время обсудить эту тему.

Прежде всего, объясним, почему образ должен быть именно оптимизированным. Во-первых, такой золотой образ существенно экономит размер требуемого места на диске (до 80%), что позитивно отражается на времени создания десктопных пулов (в три раза быстрее). Для сравнения, нативная подготовка образов Windows, включая действия по очистке после 10-минутного простоя, позволяет полноценно применять ядро, минимум, час спустя, если же мы говорим об оптимизации образа, весь процесс занимает полминуты, что, согласитесь, при развороте больших пулов весьма и весьма приятно.

Во-вторых, входы пользователей, обязательно сопровождаемые созданием стандартного профиля, занимают до 30 секунд в базисе, если же оптимизируем образ, время на логин сокращается до 2,5-8,5 секунд. Наконец, нельзя не упомянуть об экономии памяти хоста (до 50%), ресурсов CPU (на 40%), хранилища и операций ввода/вывода.

Чтобы перейти к оптимизации, проделываем всю процедуру создания ВМ, заливки на нее ОС и установки VMware Tools, описанную в подразделе «Создание ВМ для Connection Server и сервера базы данных» статьи «Установка…» – она общая, эталонная, поэтому актуальна и в этом случае. Затем на нее инсталлируется агент Horizon (или назначается RDS-роль машины) и, по желанию, DEM, либо же просто пакуется пул необходимых приложений и переходим к самому интересному – применению VMware OS Optimization Tool (OSOT). Инструмента, оптимизирующего, обобщающего и завершающего подготовку ОС для использования в десктопной виртуализации.

Для начала, скачаем «VMware OS Optimization Tool» отсюда. Его клиент запускается соответствующим «*.exe»-файлом, и первое, что нам необходимо сделать после захода – проверить наличие последних апдейтов системы:

выбрав вкладку «Public Templates», поставив галочку на «Update Only», нажав на иконку обновления страницы, и, если что-то появилось в списке, кликнув на «Download». Затем:

  • Анализируем рекомендованную к применению оптимизацию системы, зайдя на вкладку «Optimize» и нажав внизу на кнопку «Analyze»:

Если кликнуть на соседнюю с ней, «Common options», можно поменять выбор оптимизаций:

Окончательно, жмем кнопку «Optimize» для запуска процедуры:

  • Обобщение образа Windows позволяет убрать специфическую для компьютера информацию, чтобы его можно было применять где-угодно. С этой целью заходим на вторую вкладку интерфейса «Generalize», выбираем правильную временную зону, локализацию, вводим данные учетной записи пользователя и обязательно ставим галочку на «Automatic Restart», после чего кликаем на кнопку «Generalize»:

  • В финале нам нужно очистить настройки KMS, указать IP-адрес, удалить необязательные файлы и пустое место на диске с нулевыми записями на вкладке «Finalize» – оставляем галочки везде, где они стоят по дефолту, и кликаем на кнопку «Execute»:

Теперь на образе можно инсталлировать, если требуется, App Volumes, который будет доставлять не установленные до оптимизации приложения, и после запустить из командной строки «shutdown /s /t 0 /c “Image Ready”».

После оптимизируем «железо» виртуалки, удалив все неиспользуемые устройства, которые не планируем применять в дальнейшем. Например, CD/DVD-приводы, SATA-контроллер и т. д. Для этого в клиенте vSphere находим в действиях по ВМ золотого образа «Edit Settings…»:

И по строке «CD/DVD drive 1» нажимаем иконку крестика, чтобы удалить:

Аналогично для всего остального лишнего, и окончательно сохраняем настройку кнопкой «ОК».

Наконец, экспортируем ВМ для настраиваемости размера диска в OVF, с использованием опции тонкого диска. С этой целью, кликнув правой кнопкой мыши на ВМ в инвентаре клиента vSphere, выбираем «Template»:

и далее по этому пункту – «Export OVF Template»:

Опционально приводим описание (удобно, к примеру, отражать номер билда системы), ставим галочку на «Enable advanced options» и «Include extra configuration», затем завершаем экспорт кнопкой «ОК»:

Осталось удалить уже ненужную ВМ, как обычно.

Во всех будущих разворотах десктопных пулов/RDSH-ферм с золотого образа будем применять этот подготовленный нами OVF-шаблон.

Мгновенное клонирование пулов виртуальных десктопов

Когда у нас готов оптимизированный «золотой образ» (см. выше), мы в любой момент, буквально в считанные секунды, можем развернуть укладывающееся в лимиты Horizon и актуальные характеристики среды произвольное количество пулов десктопов идентичной конфигурации. Перед тем, как перейти к конкретике этой процедуры, немного поговорим о требованиях к подготовке к операции мгновенного клонирования (не лишним будет вдобавок освежить знания по этому вопросу в статье «Установка VMware Horizon Version 2012 от «А» до «Я»»). Итак, следует убедиться, что:

  • На vSwitch открыто достаточное кол-во портов для новых виртуальных десктопов (инстант-клоны требуют статической привязки по портам с эластичным распределением портов);
  • VLAN должен иметь достаточно DHCP-адресов с НА для десктопного пула и включен DNS Scavenging;
  • Все в порядке с организацией KMS-лицензирования или настроена активация на основе AD;
  • Версия «железа» мастер-ВМ не младше 11;
  • ESXi и vCenter Server проапдейчены до 6.7U1-версии, минимум;
  • На консоли Horizon заведены домен-аккаунты инстант-клонов (см. статью «Установка VMware Horizon Version 2012 от «А» до «Я»»);
  • Включен View Storage Accelerator (это мы делали в подразделе «Добавление подключения к vCenter» выше);
  • Доступен, минимум, один LUN для хранилища виртуальных десктопов, и есть отдельные LUN для их реплик;
  • Проанализировано на достаточность дисковое пространство с учетом свопов и перерасхода графической памяти, если она употребляется;
  • Мастер-ВМ должна быть присоединена к домену;
  • Для «золотого образа» настроены все групповые политики компьютера (см. ниже в соответствующем разделе).

Инстант-клоны будут разворачиваться в том же vSphere-кластере, что и мастер-образ, и спецификации их «железа» аналогичны. А OU мастер-машины совпадет с OU мгновенно склонированных десктопов.

Завершается же подготовка мастер-ВМ к клонированию снятием снэпшота (см. выше).

Процедура инстант-клонирования виртуальных десктопов

Как мы упоминали в теоретической части «Установка VMware Horizon Version 2012 от «А» до «Я»», мгновенно склонированные десктопные пулы могут быть с выделенным назначением и плавающие (непостоянные). Наиболее полезен и интересен именно второй тип – им и займемся:

  • Заходим в консоль Horizon и в левой панели в «Inventory» кликаем на «Desktops»:

  • В рабочей области справа ставим галочку на существующем пуле (процедура создания описана в «Установка…») и кликаем на кнопку «Duplicate» сверху для копирования настроек для нового пула:

  • После перехода нажимаем на кнопку «Add» вверху:

  • Откроется визард, в первом пункте которого, «Type», выбираем «Automated desktop pool»:

    • «vCenter Server». Ставим точку на «Instant Clone» и выбираем vCenter Server:

«Next»;

    • «User Assignment». Выбираем «Floating»:

«Next»;

    • «Storage Optimization». Если хочется использовать многоуровневое хранилище, ставим галочку в «Use Separate Datastores for Replica and OS Disk»:

«Next»;

    • «Desktop Pool ID». Назначаем пулу уникальный непоказываемый другим идентификатор (Horizon создаст папку, содержащую эту ВМ в vCenter с именем пула) и вводим имя, которое будет демонстрироваться. Если собираемся использовать Identity Manager, оставляем поле «Access group» со значением «/», в противном случае выбирается группа, которой делегированы права администрирования для этого пула:

«Next»;

    • «Provisioning Settings». В поле «Virtual Machine Naming» вписываем шаблон наименования (уникальный), придуманный выше, опционально к нему можно добавить «{n:fixed=3}», чтобы указать локацию для увеличения кол-ва цифр в именах машин (но не выходя за рамки в 15 символов). В поле «Desktop Pool Sizing» вводим максимальное число десктопов, которые собираемся разворачивать (диапазон DHCP должен это выдерживать). В блоке «Provision Machines» выбираем «All Machines Up-Front», чтобы создать все машины прямо сразу (если другой пункт, они будут созданы, только когда подключаться пользователи). Во втором случае прописываем кол-во запасных (включенных) машин. Учтите, что тогда Horizon развернет запасные машины, а остальные – в момент подключения пользователей:

«Next»;

    • «vCenter Settings». С помощью кнопок «Browse» заполняем все поля:

Если родительской машины нет в списке, ставим галочку на «Show all parent VMs» и кликаем на «…» напротив нужной ВМ, чтобы понять, почему:

Не забудьте прокрутить область вниз до конца – там еще много обязательных к заполнению вещей, вроде выбора хранилища данных и сети.

«Next»;

    • «Desktop Pool Settings». Здесь можно выбрать «Category Folder» (через «Browse»):

где будет помещена опубликованная иконка в клиентском меню «Start» и/или на десктопе. Если так сделать, появится окно, где можно задать все параметры:

С лицензией уровня Enterprise можно выбрать тип сеанса («Session Types»), чтобы опубликовать либо десктоп, либо приложение, либо и то, и другое:

Далее из выпадающего списка в секции «Log Оff Аfter Disconnect» выбираем «After» и указываем, через сколько именно времени это сделать (если это заранее не было задано при редактировании политик параметром «Disconnect Session Time Limit (VDI)» в «VMware View Agent Configuration» – «Agent Configuration» – см. ниже):

Там же можно разрешать пользователям перезагружать свои машины, раздельные десктопные сеансы с разных клиентских устройств.

«Next»;

    • «Remote Display Settings». Выбираем тип предпочитаемого протокола и хотим ли позволять пользователям самим выбирать протокол, а в поле «3D Renderer» есть опция для NVIDIA GRID VGPU, если GPU проинсталлированы. Также можно поставить галочку в «Allow Session Collaboration», которая добавит соответствующую иконку в системный трей на удаленном десктопе, что позволит приглашать пользователей к совместной работе:

«Next»;

    • «Guest Customization». Выбираем домен, а в поле «AD container» нажимаем на «Browse», чтобы определить OU, где объекты компьютера виртуального десктопа будут помещены:

Также можно поставить галочку в «Allow reuse of pre-existing computer accounts».

«Next»;

    • «Ready to Complete». Проверяем все выбранные настройки и, при желании, можно отложить выдачу прав пользователям, поставив галочку в «Entitle Users After Adding Pool» (как это делается, рассказывалось в статье «Установка…») :

«Submit».

Чтобы удостовериться, что наш новый склонированный пул виртуальных десктопов успешно развернулся, заходим в консоли в «Inventory» – «Desktops», и если его в списке еще нет, нажимаем на иконку обновления страницы:

Добавление машины к пулу

Ищем в «Inventory» – «Desktops» наш новосозданный пул в списке и кликаем на его ссылку (см. скриншот выше). В рабочей области справа нажимаем на кнопку «Edit» вверху:

Переходим на вкладку «Provisioning Settings» и меняем кол-во машин в поле «Max number of machines»:

Спустя совсем немного времени в списке пула на вкладках «Machines» и «Machines (InstantClone Details)» появятся новые машины:

Апдейт пула

Сначала нам нужно подготовить мастер-десктоп. Для этого включаем его машину:

Обновляем все на ней, что планировалось, снова выключаем ее и снимаем новый снэпшот. Теперь заходим в консоль Horizon в «Inventory» – «Desktops» и кликаем на имя нашей родительской машины в списке справа. На вкладке «Summary» из выпадающего меню кнопки «Maintain» выбираем «Schedule»:

Откроется визард, на первой странице которого, «Image», выбираем новый снэпшот и кликаем «Next».

В «Schedule» выбираем, когда применить новый образ. Здесь же можно определиться, ждать ли выхода всех пользователей или же выкинуть их силовым методом (настройку времени задержки и прочее, относящееся к этой теме, мы изучали в «UI Horizon 8 2012 и его общие важные настройки» выше):

На последней страничке проверяем, все ли верно, и завершаем настройку кнопкой «Finish».

Мгновенное клонирование RDS-ферм

Требования по подготовке к процессу мгновенного клонирования RDS-ферм, в целом, аналогичен тому, что справедливо для виртуальных десктопов. Единственное что, надо убедиться в наличии функции «VMware Horizon Instant Clone Agent» на агенте «золотого образа» RDS (выставляется при инсталляции:

агента).

В принципе, и сама процедура имеет немного отличий, однако, чтобы не упустить ни одного нюанса, вкратце ее приведем:

  • В консоли Horizon кликаем на «Farms» в «Inventory» левой панели;
  • Нажимаем на кнопку «Add» вверху правой рабочей области:

  • Откроется визард. На первой его странице – «Type» – выбираем «Automated Farm»:

«Next»;

    • «vCenter Server». Ставим точку на «Instant Clone» и выбираем vCenter Server:

«Next»;

    • «Storage Optimization»:

«Next»;

    • «Identification and Settings». Вводим имя фермы и заполняем остальные поля:

Обратите внимание на поле «Pre-launch Session Timeout (Applications Only)». Оно отвечает за настройку моментального предоставления пустой RDS-сессии пользователю сразу, как он вошел в клиент. Программы в этом случае грузятся значительно быстрее. В этом поле выставляется значение при каких условиях и через сколько времени сеанс отключится:

Там же выставляется и таймаут пустой сессии, а также тип ситуации, при которой это происходит:

А также на «Log off disconnected sessions» в дополнение к общим настройкам, которые делали в «Global Settings», когда обсуждали UI Horizon выше:

Наконец, можно поставить галочку в «Allow Session Collaboration» и определить максимальное число сеансов на каждый RDS-хост (можно просто оставить «Unlimited», и тогда в процессе не придется перенастраивать, вдруг возникнет проблема):

«Next»;

    • «Load Balancing Settings». Здесь осуществляется объявление метрик, отвечающих за равномерное распределение пользователей по ферме (настраивается индивидуально, в зависимости от ситуации и параметров среды):

«Next»;

    • «Provisioning Settings». Вводится имя шаблона с добавкой в виде «{n:fixed=3}» и количество машин в ферме в поле «Farm Sizing»:

«Next»;

    • «vCenter Settings». Как и в случае с дескпулами, кликаем на «Browse» по каждой строке, чтобы назначить все, что необходимо:

«Next»;

    • «Guest Customization». Выбираем OU, чтобы разместить новые ВМ (следует предварительно сконфигурировать с помощью настроек групповых политик для RDSH-машин – см. ниже в соответствующем разделе):

«Next»;

    • «Ready to Complete». Тут просто жмем «Submit».

Статус склонированной фермы смотрится в инвентаре, в разделе «Farms».

В добавлении новых RDS-хостов к автоматической ферме никаких различий, по сравнению с рассмотренными выше виртуальными десктопами, только проделывается все в «Farms», а не в «Desktops». Что же касается апдейта, совпадает все, до момента открытия визарда «Schedule Reccuring Maintenance». Его пункты кое в чем отличаются:

  • «Maintenance». Здесь из выпадающего списка можно выбрать опцию «Recurring», возвращающую RDS-хосты в очищенное состояние:

Там же выставляется время и периодичность процедуры. Либо же можно заставить систему сделать это немедленно, выбрав в «Schedule» – «Immediate». Если остановились на этом, то ниже появится возможность включить «Start Now» или выбрать конкретное время для ребута и применения изменений.

«Next»;

  • «Image». Здесь снимаем галочку с «Use current golden image» и выбираем новый снэпшот, сделанный нами в процессе подготовки к апдейту фермы:

«Next»;

  • «Schedule Maintenance Setting». Выбираем, ждать ли выхода пользователей или выкидывать их силой:

«Next»;

  • «Ready to Complete». «Finish».

Работа с клиентами Horizon

Horizon – это дорога с двусторонним движением. Поэтому, рассмотрев его функционал с точки зрения агента, мы не можем обойти вниманием хотя бы самые общие моменты администрирования клиентов пользователей. Тем более что функционал их весьма разнообразен и интересен.

Установка и первичная настройка клиента Horizon

Получать доступ к веб-клиенту Horizon Client 2012 по HTML мы учились в статье «Установка…». Но, иногда может понадобиться и второй способ – непосредственной инсталляции, – поэтому в двух словах о нем расскажем и покажем, как делать первичную настройку клиента.

Для начала заходим с машины клиента под правами администратора в браузер и вводим имя нашего Connection Server (с https://). Появится такое приветственное окно:

где нужно кликнуть на левую ссылку («Install VMware Horizon Client»), после чего нас автоматически перекинет на страницу загрузок, откуда скачиваем сам клиент под конкретную ОС. Ищем скаченный «.exe» и запускаем его:

Появится окно:

«Agree & Install» здесь означает моментальную установку с настройками по умолчанию. Если же выбрать «Customize Installation», можно изменить путь инсталляции, выбрать тип интернет-протокола, задать дефолтный Connection Server и множество других полезных опций, в т. ч. Skype for Business, согласиться с перенаправлением USB и URL-контента, поддержкой перенаправления мультимедиа, браузера и т. д. Когда процесс конфигурирования будет завершен, жмем кнопку «Agree & Install» под списком настроек и в итоге получим сообщение об успешной установке клиента. Иногда в процессе может попросить перезагрузить систему.

Апдейт софта

Если кликнуть на выпадающий список в клиенте Horizon в правом верхнем углу, покажется меню, в котором есть пункт «Software Updates»:

Если на него кликнуть, появится окошко, в котором можно нажать кнопку «Check for Updates», чтобы проверить их наличие. Также полезно поставить галочки в «Check for updates and show notification» и «Show pop-up message when there is an update», чтобы получать предупреждение, когда они появятся. Ниже мы расскажем, как включать такие сообщения в политиках.

Функции Horizon Client

  • Изменение SSL-сертификата. Чтобы поменять SSL-верификацию, кликаем на выпадающее меню в правом верхнем углу и выбираем пункт «Configure SSL…»:

Появится сообщение, в котором выбираем, что хотим получать предупреждение, когда пытаемся подключиться к недоверенным серверам, также можно поставить галочку на разрешении соединения по SSL-прокси, но это – только для Blast и туннельного:

  • Настройка Blast. До того, как клиент осуществил подключение к серверу, нужно нажать выпадающее меню сверху и справа, выбрав «Configure VMware Blast» в меню:

Окно настроек протокола выглядит так:

Здесь можно задавать также характер подключения (если выбрано «Excellent» – это только по TCP, «Typical (default)» – UDP при открытых портах и «Poor» – по UDP с пакетной дедупликацией).

Если в политиках (см. ниже) включен параметр «Allow High Color Accuracy», оно видоизменится таким образом:

Вообще же, если позволяют настройки пула (см. выше), можно выбирать протокол, по которому будет подключаться то или иное приложение, если кликнуть на нем правой кнопкой и в выпавшем меню выбрать «Settings», а затем в появившемся окне назначить необходимое:

  • Подключение к серверу. В левом верхнем углу должны быть сервера, к которым может подключаться клиент Horizon. Если таковой там не показался после запуска, его можно добавить, если нажать на кнопку «New Server» или на «Add Server» ниже:

После этого появится окошко, в котором следует ввести FQDN Connection Server:

  • Синхронизация клавиатуры, прокручивания, num lock и cap lock. Если правой кнопкой кликнуть на иконку десктопа и выбрать в меню «Settings», в его разделе «Win10» слева можно поставить галочку на «Automatically synchronize the keypad, scroll, and cap lock keys»:

  • Изменение настройки расшаривания файлов. В том же меню настроек в разделе «Sharing» левого меню можно добавить диски или папки, доступные для той или иной группы пользователей:

  • Добавление ярлыков на рабочем столе или внесение приложения в меню «Start». После подсоединения клиента к серверу любое его приложение можно вынести в виде ярлыка на десктоп или добавить его строкой в меню «Start»:

  • Совместная работа. При настройке пулов и RDS-ферм можно разрешать совместное их использование («Allow Session Collaboration» – см. выше). Это выводит соответствующую иконку в системный трей удаленного десктопа:

нажав на которую можно приглашать пользователей присоединиться к своей сессии:

Чтобы передать контроль участнику, нужно дважды кликнуть на зеленую иконку, после чего откроется окно сеанса совместной работы:

Кроме того, доступны функции перенаправления дисков, сканнера и принтеров – все это определяется соответствующими параметрами политик и используется прямо из клиента Horizon на пользовательских устройствах.

Настройка групповых политик и профилей

За всю историю Horizon профили в нем настраивались с помощью нескольких решений VMware и Microsoft:

  • Dynamic Environment Manager (DEM),
  • Persona,
  • App Volumes Writable Volumes,
  • Persistent Disks,
  • Microsoft FSLogix,
  • Microsoft Roaming Profiles.

Все, что касается DEM, массивно обсуждалось в нашей статье «VMware Dynamic Environment Manager и Horizon 8 2012». На тему компонентов App Volumes тоже нами публиковался отдельный материал «App Volumes в Horizon 8 2012», как мы уже говорили вначале. VMware Persona – это аналог нативных майкрософтовских перемещаемых профилей или Citrix Profile Management, однако в версии Horizon, начиная с 2006, он не включен, с новейшими версиями Windows 10 не работает на RDSH-агентах, как и с инстант-клонами, поэтому нуждается в миграции при переходе на «восьмерку». Технология Persistent Disks также сейчас считается устаревшей, как и Composer, и обладает далеким от последних возможностей десктопной виртуализации функционалом. Сегодня, логично, обе они обсуждаться не будут.

А вот о Microsoft FSLogix и Roaming Profiles обязательно немного расскажем ниже, ведь если, по каким-то причинам, DEM недоступен (хочется бесплатной альтернативы, к примеру), получается, что это – чуть ли не единственный способ работать с профилями и групповыми политиками в Horizon.

Но, вначале огласим общие рекомендации по организации доступа к файловым ресурсам хранения перемещаемых профилей (советы из документации VMware):

  • \\server\Profiles\Win10:
    • Admins – полный контроль (Full Control),
    • Support – разрешение на редактирование (Modify),
    • Users – чтение/выполнение (Read/Execute), создание папок (Create Folders),
    • Creator Owner – полный контроль (Full Control).
  • \\server\Profiles\Win19:
    • Admins – полный контроль (Full Control),
    • Support – разрешение на редактирование (Modify),
    • Users – чтение/выполнение (Read/Execute), создание папок (Create Folders),
    • Creator Owner – полный контроль (Full Control).

По перенаправлению папок правильной стратегией будет аналогичная организация прав, за исключением того, что саппорт в этом сценарии не участвует.

О создании необходимых для поддержки перемещаемых профилей и политик файловых ресурсов, открытии доступа нужным категориям пользователей и назначении им прав мы писали достаточно в статье о DEM.

Также приведем общий принцип создания GPO:

  1. В «Active Directory Users and Computers» (msc) создаем родительский организационный юнит (OU), который будет содержать все VDA (Virtual Desktop Access);
  2. Создаем суб-юниты, каждый – назначенный определенной группе доставки. Компьютерные объекты VDA для каждой группы доставки должны быть помещены в эти суб-юниты, причем там должны быть только они (никаких пользовательских аакаунтов, если режим «Group Policy Loopback Processing» поддерживает пользовательские параметры). Разделение их является важным, так как в этом и только в этом случае можно применять разные настройки GPO к каждой группе доставки. Далее нам нужно выдать разрешения административной группе на добавление объектов в OU VDA и поместить туда же все мастер-образа, чтобы VDA GPO Computer Settings можно было в них записать. Последнее помогает избежать проблем с синхронизацией при перезагрузке непостоянных машин в то время, как настройки GPO еще не применены;
  3. Перемещаем VDA из контейнера Computers в один из OU группы доставки;
  4. Заходим в консоль Group Policy Management (gpmc.msc) и создаем нужный GPO. Обычно, он применяется ко всем группам доставки, благодаря чему может иметь привязку к родительскому OU. Либо же его можно привязать к конкретной группе доставки суб-юнита;
  5. Теперь открываем этот новый GPO и справа переходим на вкладку «Details» по нему;
  6. Выбираем из выпадающего меню внизу по строке «GPO Status» значение «User configuration settings disabled»;
  7. Создаем и привязываем аналогичным образом новые GPO, например, один – для всех пользователей, включая администраторов, а другой – для группы не-администраторов (для блокировки), и точно так же в «Details» по каждому из них выбираем статус как «Computer configuration settings disabled»;
  8. Слева кликаем на последнюю группу и переходим на вкладку по ней справа «Delegation» и нажимаем кнопку «Add», чтобы делегировать права администрирования для этого GPO. В появившемся окне «Select User, Computer, or Group» выбираем группу администраторов, а в окне «Add Group or User» меняем «Permissions» на«Edit settings» в выпадающем меню, после чего сохраняем все «ОК»;
  9. Чтобы исключить случаи блокировки GPO для группы администраторов, на той же вкладке «Delegation» кликаем на кнопку «Advanced», подсвечиваем в выскочившем окне нужную группу и в блоке ниже ищем строку «Apply Group Policy», где перемещаем галочку на «Deny». Подтверждаем настройку и проделываем то же самое для других созданных нами ранее групп.

Microsoft FSLogix

Контейнеры профилей FSLogix могут хранить пользовательский профиль целиком в файле «.vhdx» на файловом ресурсе. Эта технология бесплатна для большинства виртуальных десктопов и клиентов RDSH и отлично работает с перемещением индекса поиска Outlook и другими специальными файлами Office 365. Однако, с ней надо быть внимательным в отношении отслеживания потребления дискового пространства на файловом ресурсе, кроме того одновременный доступ к «.vhdx»-файлу в этом случае может стать нетривиальной задачей.

Удобство FSLogix в том, что это решение класса «установили и забыли» – оно не требует разделения конфигурации под каждое приложение и довольно простое по своей сути.

FSLogix устанавливается на VDA-машину, для чего вначале скачиваем инсталлятор отсюда (в разделе Download FSLogix кликабельная ссылка на автозагрузку), разархивируем его и ищем в папке «Network\fs01\bin\Microsoft\FSLogix\FSLogix_Apps_<номер версии>\x64\Release» файл «FSLogixAppsSetup.exe». Инсталляция стандартна, в процессе попросит перезапуск.

Настройка FSLogix осуществляется через Group Policy или через редактирование переменных реестра по каждой машине агента FSLogix. Первый вариант проще и понятней, на нем и остановимся. Для начала копируем файлы «fslogix.admx» и «fslogix.adml» в папку «PolicyDefinitions», но «.adml»-файл засовываем в папку «en-US». Находим в «Computer Configuration» – «Policies» – «Administrative Templates» – «FSLogix» – «Office 365 Containers»/«Profile Containers» (первое выбираем, если нужно контролировать только контейнеры профилей Office 365, а Profile Containers помогают в настройке вообще всех профилей, не только офиса) и обязательно проверяем, чтобы глобальная политика была «Enabled»:

Затем назначаем либо параметр «VHD location», либо «Cloud Cache Locations» (оба нельзя), в зависимости от ситуации:

А также «VHDX Profile Cleanup» и «VHDX Compaction». Если хотите глубже погрузиться в эту тему, вот несколько полезных ссылок по ней:

https://james-rankin.com/articles/spreading-users-over-multiple-file-shares-with-fslogix-profile-containers/

https://github.com/aaronparker/FSLogix/tree/main/Profile-Cleanup

https://github.com/FSLogix/Invoke-FslShrinkDisk

После этого нам нужно установить тип виртуального диска как VHDX:

И обязательно позаботиться о том, чтобы его размер был достаточно большим для будущих пользователей Офиса (по дефолту он 30 ГБ, что, согласитесь, маловато):

Теперь в папке групповых политик «Container and Directory Naming» включаем параметр «Swap directory name components»:

Возвращаемся в пул «Office 365 Containers» и просматриваем каждый параметр, начинающийся с «Include…», включая все, что по вашему мнению вам будет нужно в офисном контейнере:

Теперь нужно включить хранение базы данных поиска в контейнере Office 365.

Важно! Для Windows Server 2019 RDSH не включайте FSLogix Search Roaming, так как в этой системе встроен поиск по каждому пользователю, помещающий Search Index в пользовательский профиль. В случае же Windows Server 2016 RDSH, спокойно включайте Multi-user search.

Для виртуальных десктопов выбираем «Single-user search»:

В корневой папке пула «FSLogix» справа будут параметры «Enable…» – ищем «Enable search roaming» и устанавливаем значение на Multi-user/Single-user, в зависимости от того, что было выбрано только что:

Больше информации по FSLogix можно найти здесь.

Microsoft Roaming Profiles

Roaming Profiles Майкрософта можно считать этаким последним рубежом – когда все остальное вышеперечисленное недоступно, но, хоть какой-то функционал в этой сфере получить, все же, хочется. Это решение известно гигантским количеством ограничений и недостатков. Во-первых, время логина с ним увеличивается в разы, так как весь профиль подгружается еще до того, как пользователь начинает взаимодействовать с приложением или рабочим столом. Во-вторых, из нескольких сеансов настройки с его помощью не объединишь, так что, если ваши пользователи хотят подключаться к нескольким фермам RDS либо нескольким пулам десктопов, для каждой такой фермы или пула следует предусмотреть отдельные файловые ресурсы перемещаемых профилей.

GPO Microsoft

Обычно, десктопная виртуализация идет рука об руку с продуктами Microsoft. Следовательно, занимаясь администрированием Horizon, вам никак не обойтись без навыков настройки и применения специальных GPO под них.

Шаблоны GPO Windows 10 и Windows Server

Важно! Между шаблонами GPO для Windows Server и для Windows 10 существует некоторая разница, поэтому, чтобы покрыть весь спектр возможных требований и избежать в будущем неприятных сюрпризов, рекомендуется сразу загружать комплексный набор темплейтов.

Отсюда скачиваем «Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2)» и традиционно запускаем его «.msi». Откроется соответствующий стандартный визард, его, обычно, прокликиваем «Next» и в конце саму инсталляцию запускаем кнопкой «Install». Единственное важное замечание: обязательно запишите местоположение нашего ADMX (поле «Location»), так как впоследствии нам это понадобится.

После того, как инсталляция завершилась, нам нужно пройти по этому адресу в папку «PolicyDefinitions», выделить все «.admx»-файлы и папочку с предпочитаемым языком (en-US), после чего скопировать все это в буфер:

Затем заходим в sysvol домена, ищем в папке «Policies» папку «PolicyDefinitions» и вставляем туда скопированные файлы (если такой папки не нашли, просто создайте ее). Если sysvol не пользуетесь, просто помещаете в «C:\Windows\PolicyDefinitions».

Чтобы просмотреть список всех GPO-параметров в Windows для этой версии, скачайте «Group Policy Settings Reference Spreadsheet for Windows 10 October 2020 Update (20H2)» отсюда.

Шаблоны GPO Microsoft 365 Apps

Для настройки политик Microsoft 365 Apps (Office 365/Office 2019/Office 2016) нужно вначале скачать «Administrative Template files (ADMX/ADML) and Office Customization Tool for Microsoft 365 Apps for enterprise, Office 2019, and Office 2016» (при инсталляции будьте аккуратнее с выбором разрядности, чтобы не конфликтовала). После этого заходим в папку со скаченными шаблонами и для Office 2019 запускаем файл «admintemplates_x64_5077-1000_en-us.exe»:

(Для других поколений – следующие файлы, соответственно).

Далее обычный процесс установки, после чего заходим в «Office2019 Templates», куда все это, собственно, инсталлировалось, затем в папке «admx» выделяем все файлы с расширением «.admx» и папочку с желаемым языком, копируем и вставляем в «PolicyDefinitions» sysvol или напрямую в «C:\Windows\PolicyDefinitions» – все, как мы делали выше.

Сразу после этого имеет смысл отредактировать политику, запрещающую устанавливать Microsoft Teams при новой инсталляции или апдейте офиса. Для этого в редакторе «Group Policy Management Editor» открываем «Computer Configuration» – «Policies» – «Administrative Templates» – «Microsoft Office 2019 (Machine)» – «Updates» и назначаем «Enabled» в политике «Don’t install Microsoft Teams with new installations or updates of Office».

Также хорошо затем предотвратить автозапуск Microsoft Teams после инсталляции – это нужно сделать до того, как будете устанавливать Teams. С этой целью заходим в «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Teams» и в политике «Prevent Microsoft Teams from starting automatically after installation» устанавливаем значение «Enabled».

Еще немного полезных настроек (в скобочки здесь и ниже в других темах после значения параметра вынесены важные замечания, о том, что необходимо отметить в окне редактирования параметров, а также об области применения и исключениях, если они имеются):

  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Office 2016 (или 2013)» – «First Run»:

«Disable First Run Movie» – «Еnabled»,

«Disable Office First Run on application boot» – «Еnabled»;

  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Office 2016 (или 2013)» – «Global Options» – «Customize» параметру «Allow roaming of all user customizations» назначаем «Еnabled»;
  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Office 2016 (или 2013)» – «Miscellaneous»:

«Block signing into office» – «Еnabled» («Org ID only»),

«Disable Office Animations» – «Еnabled»,

«Do not use hardware graphics acceleration» – «Еnabled» (если нет GPU),

«Hide file locations when opening or saving files» – «Еnabled» («Hide OneDrive Personal»),

«Suppress recommended settings dialog» – «Еnabled»;

  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Office 2016 (или 2013)» – «Privacy» – «Trust Center»:

«Automatically receive small updates to improve reliability» – «Disabled»,

«Disable Opt-in Wizard on first run» – «Еnabled»,

«Enable Customer Experience Improvement Program» – «Disabled»;

  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Office 2016 (или 2013)» – «Tools» – «Options» – «General» – «Service Options…» – «Online Content» устанавливаем для параметра «Online Content Options» значение «Еnabled» («Allow Office to connect to the Internet»);
  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Outlook 2016 (или 2013)» – «Account Settings» – «Exchange» назначаем по «Automatically configure profile based on Active Directory Primary SMTP address» значение «Еnabled»;
  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Outlook 2016 (или 2013)» – «Account Settings» – «Exchange» – «Cached Exchange Mode» устанавливаем в «Use Cached Exchange Mode for new and existing Outlook profiles» значение «Disabled».

Если предпочитаете использовать Cached Exchange Mode, назначьте параметру «Cached Exchange Mode Sync Settings» значение «Еnabled» (временное окно загруженного контента);

  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Outlook 2016 (или 2013)» – «Miscellaneous» – «PST Settings» назначаем в «Default location for PST files» значение «Еnabled» (пользовательская домашняя директория);
  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Outlook 2016 (или 2013)» – «Outlook Options» – «Other» – «AutoArchive» устанавливаем «AutoArchive Settings» на «Еnabled» (снимаем галочку рядом с «Turn on AutoArchive»);
  • В «User Configuration» – «Policies» – «Administrative Templates» – «Microsoft Outlook 2016 (или 2013)» – «Outlook Options» – «Preferences» – «Search Options» назначаем по «Prevent installation prompts when Windows Desktop Search component is not present» значение «Еnabled»;
  • В «Computer Config» – «Policies» – «Administrative Templates» – «Windows Components» – «Search» устанавливаем в «Prevent indexing Microsoft Office Outlook» значение «Еnabled».

Чтобы не видеть при запуске Outlook сообщения о настройке системы компонентов офиса, нужно зайти в «Computer Config» – «Policies» – «Administrative Templates» – «Windows Components» – «Search» и отредактировать параметр «Prevent indexing Microsoft Office Outlook».

ADMX-шаблон OneDrive

Клиент синхронизации Microsoft OneDrive (служба файлового хостинга и синхронизации для веб-версии Office) устанавливается помашинно, а не по каждому пользователю. Эта практика позволяет уменьшить размер перемещаемых профилей.

Чтобы включить функцию предоставления файлов по требованию, необходим ADMX-шаблон OneDrive. Для этого заходим на машину с Windows 10 или Windows Server (последних сборок) в «C:\Program Files (x86)\Microsoft OneDrive» и проходим по пути «<номер последней версии>\ admx», отыскиваем файл «OneDrive.admx» и копируем его в буфер:

Заходим на своем домене в sysvol или просто в «C:\Windows\» в папку «PolicyDefinitions» и вставляем туда скопированный файл шаблона. То же самое проделываем с файлом «OneDrive.adml», но его помещаем в папку «en-US» папки «PolicyDefinitions». После этого параметры можно будет редактировать привычным образом по своему усмотрению. В том числе настроить вышеупомянутую функцию. Для этого проходим в «Computer Configuration» – «Policies» – «Administrative Templates» – «OneDrive» и по параметру «Use OneDrive Files On-Demand» выставляем значение «Enabled».

Групповые политики Adobe Reader

Шаблоны групповых политик Adobe Reader загружаются отсюда. Копируем из разархивированного каталога файл «.admx file» и папку «en-us»:

в «\\domain.com\SYSVOL\domain.com\Policies\PolicyDefinitions» или напрямую в «C:\Windows\PolicyDefinitions». Открываем групповую политику, применяемую к группе всех пользователей, включая администраторов, и заходим в «User Configuration» – «Administrative Templates» – «Adobe Reader» – «Preferences» – «General», ищем параметр «Accept EULA» и включаем его:

Потом открываем параметр «Display splash screen at launch» и ставим ему значение «Disable».

Еще имеет смысл отключить функцию «Repair Adobe Reader Installation» в хелпере Adobe Reader. Для этого в редакторе реестра проходим в «HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Adobe\Acrobat Reader\11.0\Installer» и добавляем DWORD «DisableMaintenance» со значением «1»:

Также стоит отключить апдейты, отредактировав реестр: «HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Adobe\Adobe ARM\Legacy\Reader\{AC76BA86-7AD7-1033-7B44-AC0F074E4100}», где в «Mode» надо поставить «0». Либо же сделать это прямо из GUI приложения.

Еще несколько полезных настроек для Adobe:

  • Из «C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroApp\ENU» удаляем инструменты (tools);
  • Во избежание показа приветственного экрана добавляем значение DWORD параметра «bUsageMeasurement» реестра «HKLM\Software\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown», равное «0»;
  • Убираем кнопку «Add Account» в «KLM\Software\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown\cSharePoint»: по «BDisableSharePointFeatures» устанавливаем «1»;
  • Удаляем возможность проверки апдейтов (кнопка «Check for update») в «HKLM\Software\Adobe\Acrobat Reader\DC\Installer», где параметру «DisableMaintenance» нужно назначить значение «1».

Некоторые настройки групповых политик компьютера

Редактирование групповых политик компьютера (Group Policy Computer) выполняется в Group Policy Management в разделе левой панели «Computer Configuration» – «Policies».

Трекинг процессов для Director

Политика «Audit». Для ее редактирования заходим в «Computer Configuration» – «Policies» – «Windows Settings» – «Security Settings» – «Local Policies» – «Audit Policy» и меняем значение «Audit process tracking» на «Success».

Задержка до блокировки сеанса

Политика «Security Options». Для ее редактирования заходим в «Computer Configuration» – «Policies» – «Windows Settings» – «Security Settings» – «Local Policies» – «Security Options». Находим строку справа «Interactive logon: Machine inactivity limit» и выставляем по ней значение в секундах, по истечению которого сеанс заблокируется.

Назначение авторитетности подсетей

В «Computer Configuration» – «Policies» – «Administrative Templates» – «Network» – «Network Isolation» находим параметр «Subnet definitions are authoritative» и выставляем по нему «Enabled».

Настройка подробных сообщений

В «Computer Configuration» – «Policies» – «Administrative Templates» – «System» выставляем значение параметра «Display highly detailed status messages» как «Enabled».

Настройка входа

Чтобы избавиться от назойливых Windows-приветствий при каждом входе в систему, в «Computer Configuration» – «Policies» – «Administrative Templates» – «System» – «Logon» по параметру «Show first sign-in animation» можно задать «Disabled», а по параметру «Show clear logon background» – «Enabled».

Кроме этого можно создать объект групповой политики preferences реестра в «Computer Configuration» – «Preferences» – «Windows Settings» – «Registry» и назначить по «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DelayedDesktopSwitchTimeout (REG_DWORD)» – «2». В этом случае десктоп будет грузиться быстрее:

Параметры питания

Ниже приведенные рекомендации, в основном, относятся к виртуальным десктопам, а не к хостам удаленных сеансов. Все настройки делаются в разделах «Computer Configuration» – «Policies» – «Administrative Templates» – «System» – «Power Management»:

  • «Hard Disk Settings». По параметру «Turn Off the hard disk (plugged in)» выставляем значение «Enabled» (0 секунд),
  • «Sleep Settings». Выставляем значения «Enabled» (0 секунд) по параметрам: «Specify the system hibernate timeout (plugged in)», «Specify the system sleep timeout (plugged in)» и «Turn off hybrid sleep (plugged in)»,
  • «Video and Display Settings». По параметру «Turn off the display (plugged in)» выставляем значение «Enabled» (0 секунд).

Параметры Remote Assistance

В «Computer Configuration» – «Policies» – «Administrative Templates» – «System» – «Remote Assistance» выставляем значения следующих параметров:

«Configure Solicited Remote Assistance» – «Disabled»,

«Configure Offer Remote Assistance» – «Enabled» (указываем группы Help Desk и Administrator).

Настройка пользовательских профилей

В «Computer Configuration» – «Policies» – «Administrative Templates» – «System» – «User Profiles» важно назначить значения таких параметров:

«Add the Administrators security group to roaming user profiles» – «Enabled»,

«Delete cached copies of roaming profiles» – «Enabled» (только для постоянных хостов сеансов),

«Do not check for user ownership of Roaming Profile Folders» – «Enabled»,

«Set maximum wait time for the network if a user has a roaming user profile or remote home directory» – «Enabled» (0 секунд).

Параметры проводника

В «Computer Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «File Explorer» по параметру «Allow the use of remote paths in file shortcut icons» рекомендуется назначить «Enabled».

Настройка просмотра событий

При применении Provisioning Services хочется перемещать журналы событий в кэш постоянного диска, чтобы была возможность их просматривать даже после перезагрузки целевого устройства. Чтобы создать папку для них в кэше диска, нужно использовать Group Policy Preferences, и в «Computer Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «Event Log Service» назначить следующее в разделах:

  • «Application». По параметру «Control the location of the log file» – «Enabled» (D:\EventLogs\Application.evtx),
  • «Security». По параметру «Control the location of the log file» – «Enabled» (D:\EventLogs\Security.evtx),
  • «System». По параметру «Control the location of the log file» – «Enabled» (D:\EventLogs\System.evtx).

А в «Computer Configuration» – «Preferences» – «Folder» определить значение параметра «Action» как «Update», а параметра «Path» – как «D:\EventLogs».

Настройки служб удаленного рабочего стола

В «Computer Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «Remote Desktop Services» – «Remote Desktop Session Host» в нижеприведенных разделах нужно назначить следующее:

  • «Connections». По параметру «Restrict Remote Desktop Services users to a single Remote Desktop Services session» назначаем «Disabled»;
  • «Device and Resource Redirection». По параметрам «Allow time zone redirection» и «Do not allow smart card device redirection» назначаем «Enabled»;
  • «Licensing». По параметру «Set the Remote Desktop license mode» назначаем «Enabled» («Per User») и по «Use the specified Remote Desktop license servers» – «Enabled» (указываем имеющиеся лицензированные серверы RDS);
  • «Remote Session Environment». По параметру «Use the hardware default graphics adapter for all Remote Desktop Services sessions» назначаем «Enabled», а по «Use WDDM graphics display driver for Remote Desktop Connections» – «Disabled»;
  • «Security». По параметру «Always prompt for password upon connection» назначаем «Disabled» (для переопределения других GPO, где он может включаться);
  • «Session Time Limits». По параметрам «Set a time limit for active but idle Terminal Services sessions» и «Set time limit for disconnected sessions» – назначаем «Enabled» (3 часа, обычно, оба).

Настройки поиска

Для Windows 10 в «Computer Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «Search» полезно назначить следующее:

«Allow Cortana» – «Disabled»,

«Don’t search the web or display web results in search» – «Enabled»,

а также другие параметры – по своему усмотрению.

Настройки хранения

В «Computer Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «Store» параметру «Turn off the Store application» стоит назначить «Enabled».

Настройки апдейтов Windows

Глобально, в разделе «Windows Update» в «Computer Configuration» – «Policies» – «Administrative Templates» – «Windows Components» нужно настроить параметр «Allow non-administrators to receive update notifications», задав по нему «Disabled». Затем раскрыть этот раздел и в его подразделе «Windows Update for Business» в параметре «Select when Preview Builds and Feature Updates are received» выставить «Enabled» (Semi-Annual Channel, 365 дней отсрочка).

Также крайне полезной будет настройка раздела «Group Policy» («Computer Configuration» – «Policies» – «Administrative Templates» – «System» – «Group Policy»). Например, хорошей практикой считается задать следующее (параметр – значение):

«Configure Group Policy Caching» – «Disabled»,

«Configure Logon Script Delay» – «Enabled» (0 минут),

«Configure User Group Policy loopback processing mode» – «Enabled» («Merge» или «Replace», в зависимости от желаемого результата).

Настройка интегрированной печати

Доступ к функциям печати пользователей определяется в настройках групповой политики «Computer Configuration» – «Policies» – «Administrative Templates» – «VMware Integrated Printing»:

«Disable LBP» – «Enabled» (отключаем доступ к локальным принтерам);

«Disable printer redirection for the non-desktop client» – «Enabled» (клиентские конечные точки не десктопного типа печать не поддерживают);

«Printer Driver Selection» – здесь настраивается диск принтера для использования родного принтера, универсального, или и того, и того.

Еще рекомендуется в «Computer Configuration» – «Policies» – «Software Settings» – «AutoConnect Map Additional Printers for VMware View» настроить параметр «Configure AutoConnect Map Additional Printers»:

так, чтобы Horizon сопоставлял десктопы с ближайшим к клиентской конечной точке принтером.

Некоторые настройки пользовательских групповых политик

Редактирование групповых политик компьютера (Group Policy User) выполняется в «Group Policy Management» в разделе левой панели «User Configuration» – «Policies».

Важно! Если нет доступа к редактору групповых политик в Windows 8/2012, следует настроить прокси, используя ключи реестра. Эти настройки хранятся в «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings»:

Чтобы пользователи не могли менять эти настройки, следует настроить параметр «Disable the Connections page», установив для него значение «Enabled», в политике «User Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «Internet Explorer» – «Internet Control Panel».

Настройка GPO Control Panel

В разделе «Control Panel» секции «User Configuration» – «Policies» – «Administrative Templates» делаются следующие настройки параметров:

«Always open All Control Panel Items when opening Control Panel» – «Enabled»,

«Show only specified Control Panel items» – «Enabled» и перечисляются следующие канонические имена:

  • Microsoft.RegionAndLanguage,
  • Microsoft.NotificationAreaIcons,
  • MLCFG32.CPL,
  • Microsoft.Personalization,
  • Microsoft.Mouse,
  • Microsoft.DevicesAndPrinters,
  • Microsoft.System:

И в «Configuration» – «Policies» – «Administrative Templates» – «Control Panel» – «Programs» значение параметра «Hide the Programs Control Panel» выставляется на «Enabled».

Настройка GPO десктопа

В «User Configuration» – «Policies» – «Administrative Templates» – «Desktop» назначаем следующие параметры, как:

  • «Hide Network Locations icon on desktop» – «Enabled»,
  • «Prohibit user from manually redirecting Profile Folders» – «Enabled»,
  • «Remove Properties from the Computer icon context menu» – «Enabled»,
  • «Remove Properties from the Recycle Bin icon context menu» – «Enabled».

Настройки GPO меню «Start» и панели задач

В подразделе «Перемещение по меню «Start» в Windows 10 1703 и новее» статьи «VMware Dynamic Environment Manager и Horizon 8 2012» о настройке этих политик мы писали в контексте использования DEM. Это можно сделать и в общем случае, если такая технология недоступна, к тому же задать еще множество полезных сопутствующих опций. Правда, немного сложнее.

Для этого заходим в «User Configuration» – «Policies» – «Administrative Templates» – «Start Menu and Taskbar» и устанавливаем следующие значения параметров:

  • «Clear the recent programs list for new users» – «Enabled»,
  • «Do not allow pinning Store app to the taskbar» – «Enabled»,
  • «Remove and prevent access to Shut Down, Restart, Sleep, and Hibernate commands» – «Enabled»,
  • «Remove common program groups from Start Menu» – «Enabled»,
  • «Remove Help menu from Start Menu» – «Enabled» (только для Windows 7 / 2008 R2),
  • «Remove links and access to Windows Update» – «Enabled»,
  • «Remove Network icon from Start Menu» – «Enabled» (только для Windows 7 / 2008 R2),
  • «Remove Run menu from Start Menu» – «Enabled» (не рекомендовано),
  • «Remove the Action Center icon» – «Enabled»(все, кроме Windows 10),
  • «Remove the networking icon» – «Enabled»,
  • «Remove the People Bar from the taskbar» – «Enabled» (в Windows 10 1703 и свежее),
  • «Remove the Security and Maintenance icon» – «Enabled» (только для Windows 10),
  • «Remove user folder link from Start Menu» – «Enabled» (только для Windows 7 / 2008 R2).

Если кнопку «Power» в VDA нужно скрыть, устанавливаем для «HKLM\Software\Microsoft\PolicyManager\current\device\Start\HidePowerButton (DWORD)» значение «1»:

Если мы приняли решение скрыть группы общих программ путем назначения параметра «Remove common program groups from Start Menu» как «Enabled», придется применять другой метод создания ярлыков программ для каждого пользователя. Типично, это делается через «Group Policy Preferences Shortcuts».

Удаление меню «Run» предотвращает ввод пользователями UNC-путей или обозначения дисков в Internet Explorer, и при повышенных требованиях к безопасности эта опция может быть весьма полезной. Вообще же, чтобы обеспечить максимальную защиту в этом смысле, рекомендуется сделать так:

  1. Настроить закрепленные плитки меню «Start» по своему усмотрению;
  2. Удалить Server Manager;
  3. Удалить PowerShell и др.;
  4. Использовать «Export-StartLayout», чтобы сохранить файл «.xml»;
  5. Использовать «Import-StartLayout» для импорта дефолтного пользовательского профиля. В результате все новые пользователи или новосозданные профили получат уже кастомизированный таким образом шаблон меню «Start».

Альтернативой является применение App Masking в FSLogix.

Настройки системных GPO

В «User Configuration» – «Policies» – «Administrative Templates» – «System» рекомендовано сделать настройки параметров:

«Prevent access to registry editing tools» – «Enabled» («Disable regedit from running silently» – «No»),

«Prevent access to the command prompt» – «Enabled» («Disable command prompt script processing» – «No»).

Настройка GPO проводника

В «User Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «File Explorer (Windows 8+)/Windows Explorer (Windows 7)» назначаем следующее:

«Hide these specified drives in My Computer» – «Enabled» (ограничить только диски A, B, C и D),

«Hide the Manage item on the File Explorer context menu» – «Enabled»,

«Prevent access to drives from My Computer» – «Enabled» (ограничить только диски A, B, C и D),

Важно! Если этот параметр включить, нельзя будет использовать меню «Start» для поиска программ.

«Prevent users from adding files to the root of their Users Files folder» – «Enabled»,

«Remove “Map Network Drive” and “Disconnect Network Drive”» – «Enabled»,

«Remove Hardware tab» – «Enabled»,

«Remove Security Tab» – «Enabled»,

«Turn off caching of thumbnail pictures» – «Enabled».

Чтобы скрыть указанные диски, нужно зайти в «Configuration» – «Preferences» – «Windows Settings» – «Drive Maps» – «New Mapped Drive» и выбрать «Action Update» – «Drive Letter Existing C» – «Hide this drive», а на вкладке «Common» назначить «Run in logged-on users’s Security».

Настройки GPO апдейтов Windows

В «User Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «Windows Update» назначаем параметр «Remove access to use all Windows Update features» как «Enabled» (0 – «Do not show any notifications»).

Настройка проводника и его сообщений

Задача – скрыть «Избранное», «Библиотеки», «Сеть» и перенаправленные локальные диски. Для этого нам нужно внести изменения в переменные реестра (уберем быстрый доступ из File Explorer в Windows 10/Windows Server 2016 и свежее): по «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer» DWORD значение «HubMode» выставляем как «1».

Обычно, в проводнике появляются сообщения, вроде советов и подсказок, как сделать что-то лучше – своеобразные встроенные в Windows «обучалки». Эту опцию можно отключить, если использовать Group Policy Preferences для прописывания в реестре «Key = HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced» значения по параметру «ShowSyncProviderNotifications (DWORD)» равное «0».

Настройка GPO скриптов логина

В «Computer Configuration» – «Policies» – «Administrative Templates» – «System» – «Group Policy» назначаем параметры как:

«Configure Group Policy Caching» – «Disabled» (для Windows 8.1/2012 R2),

«Configure Logon Script Delay» – «Enabled» (0 minutes, для Windows 8.1/2012 R2),

«Configure User Group Policy loopback processing mode» – «Enabled» (выбрать «Merge» или «Replace», в зависимости от пожеланий).

ADMX-шаблоны GPO для браузеров

Настройка групповых политик с помощью ADMX-шаблонов существенно упрощает управление профилями пользователей в разрезе доступа к браузерам и их функционалу. Рассмотрим несколько примеров их применения и конкретных задач, которые можно решить с их помощью.

Chrome

Загружаются ADMX-шаблоны Chrome из «https://support.google.com/chrome/a/answer/187202?hl=en», раскрыв информацию по нужной платформе (там будет примерно такая – «Zip file of Google Chrome templates and documentation» – кликабельная ссылка). Разархивируем скаченное, проходим в его папку «\policy_templates\windows\admx» и копируем файлы «chrome.admx» и «google.admx»:

после чего традиционно вставляем их в sysvol (например, в «\\domain.com\sysvol\domain.com\Policies\PolicyDefinitions»). Возвращаемся в разархивированный каталог и копируем оттуда папку «en-US» туда же в sysvol.

При желании можно включить поддержку перемещения профилей Chrome. Для этого переходим в редакторе групповых политик в «User Configuration» – «Policies» – «Administrative Templates» – «Google» – «Google Chrome» и ищем справа параметр «Enable the creation of roaming copies for Google Chrome profile data», для которого нужно установить значение на «Enable»:

Также можно установить расширение перенаправления браузерного контента. Для этого заходим в «User Configuration» – «Policies» – «Administrative Templates» – «Google» – «Google Chrome» – «Extensions» и справа находим параметр «Configure the list of force-installed apps and extensions»:

дважды щелкаем на него, чтобы внести изменения и включаем «Enabled», после чего в блоке ниже жмем на кнопку «Show»:

В окне вбиваем текст вида «hdppkjifljbdpckfajcmlblbchhledln; https://clients2.google.com/service/update2/crx», после чего сохраняемся «ОК»:

После этого, как только пользователь откроет Chrome на своем десктопе, расширение перенаправления контента браузера проинсталлируется автоматически.

Internet Explorer / Edge

Чтобы каждый раз, когда пользователь получает новый десктоп и запускает Internet Explorer, у него не выскакивал соответствующий визард первого запуска, нужно отредактировать GPO, которое мы создавали для группы всех пользователей, включая администраторов.

Для этого заходим в нем в «User Config» – «Policies» – «Administrative Templates» – «Windows Components» – «Internet Explorer» и по следующим параметрам устанавливаем значения:

«Prevent managing SmartScreen Filter» – «Enabled» («on»),

«Prevent running First Run Wizard» – «Enabled» («Go directly to home page»),

«Specify default behavior for a new tab page» – «Enabled» («Home page»),

«Turn on Suggested Sites» – «Disabled».

Затем в «User Config» – «Policies» – «Administrative Templates» – «Windows Components» – «Internet Explorer» – «Compatibility View» параметру «Include updated Web site lists from Microsoft» назначаем «Enabled», а в «User Config» – «Policies» – «Administrative Templates» – «Windows Components» – «Internet Explorer» – «Internet Control Panel» – «Advanced Page» параметру «Turn on Enhanced Protected Mode» – «Disabled».

Существует проблема с неполной конфигурацией IE и, следовательно, некорректной работой некоторых веб-сайтов, если пользователь запускает браузер как опубликованное приложение. По умолчанию, Windows запускает настройку по пользователю, только когда он подключается к полному десктопу, что, естественно, недоступно, если он просто работает с опубликованными приложениями. Чтобы оседлать эту ситуацию, нужно сделать следующее:

  • Редактируем GPO с разрешением для всех пользователей, включая администраторов, зайдя в нем в «User Configuration» – «Policies» – «Windows Settings» – «Scripts (Logon/Logoff)» и дважды кликнув на «Logon»:

  • Нажимаем в появившемся окне на кнопку «Add»:       

  • В поле «Script Name» пишем «runonce.exe», в поле «Script Parameters» – « /AlternateShellStartup» и сохраняем все «ОК»:

Важно! Запуск этого скрипта может привести к черным границам вокруг окна опубликованного приложения. Чтобы этого не было, нужно удалить «HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}» из VDA.
Важно! «Runonce.exe» также может к выполнению ключа реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» при запуске опубликованного приложения. Следовательно, стоит рассмотреть возможность удаления некоторых вещей, например, иконки VMware Tools, либо они будут поддерживать сеанс даже после того, как пользователь закроет свои приложения.Альтернативой «Runonce.exe» в этом случае может послужить запуск из командной строки:
@echo off“C:\Windows\System32\rundll32.exe” “C:\Windows\System32\iesetup.dll”,IEHardenUser“C:\Windows\SysWOW64\rundll32.exe” “C:\Windows\SysWOW64\iesetup.dll”,IEHardenUserstart “” “C:\Program Files (x86)\Internet Explorer\iexplore.exe”exit

Еще одной полезной настройкой групповых политик, касающихся IE, может стать конфигурирование зон безопасности. В «User Config» – «Policies» – «Administrative Templates» – «Windows Components» – «Internet Explorer» – «Internet Control Panel» – «Security Page» есть соответствующий параметр – «Site to Zone Assignment List». Однако пользователи не могут добавлять туда свои собственные сайты (интерфейс серый). Чтобы разрешить им это делать (конечно же, если таковые зоны настраиваются исключительно администратором) следуйте такой процедуре:

  • Запускаем IE и настраиваем зоны безопасности по своему усмотрению;
  • Входим в консоль Group Policy Management на той машине, где эти зоны были сконфигурированы, и открываем на редактирование GPO, назначенное для всех пользователей, включая администраторов;
  • Проходим в «User Configuration» – «Preferences» – «Windows Settings» – «Registry» и создаем новый «Collection Item»:

  • Кликаем на него правой кнопкой и выбираем «New» – «Registry Item»:

  • Нажимаем на кнопочку «…» напротив «Key Path»:

И находим «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains», после чего кликаем на соответствующий добавленный FQDN. После этого выбираем значение реестра внизу – «*» или «https», нажимаем «Select»:

Важно! «1» здесь означает локальную внутреннюю интернет-зону (Local Intranet).

После всего жмем «ОК».

По желанию, можно переименовать этот объект реестра как угодно (желательно, чтобы как-то отражало настоящую зону). Всю процедуру повторяем для других дополнительных зон.

Профили роуминга RDS

Тема профилей роуминга RDS актуальна для RDS-хостов – не для виртуальных десктопов. Для их настройки открываем на редактирование GPO «Horizon Agent RDS Farm1 Profiles»:

И настраиваем следующие параметры GPO в «Administrative Templates» – «System» – «User Profiles»:

«Add the Administrators security group to roaming user profiles» – «Enabled»,

«Delete cached copies of roaming profiles» – «Enabled»,

«Do not check for user ownership of Roaming Profile Folders» – «Enabled».

Затем переходим в «Сomputer Configuration» – «Policies» – «Administrative Templates» – «Windows Components» – «Remote Desktop Services» – «Remote Desktop Session Host» – «Profiles», справа открываем параметр «Set path for Remote Desktop Services Roaming User Profile»:

и ставим точку на «Enabled», а затем ниже, в секции «Options» вводим сам путь к файловому ресурсу:

Если ранее не был настроен родительский OU, следует задать параметры RDS, по аналогии с тем, как мы это делали для групповых политик компьютера.

Если хочется включить Aero style для сеансов RDS, проходим в «User Configuration» – «Policies» – «Administrative Templates» – «Control Panel» – «Personalization» и открываем параметр «Force a specific visual style file…»:

Включаем его, затем вводим путь ниже «%windir%\resources\Themes\Aero\aero.msstyles»:

Также вендором рекомендовано включение RunOnce (см. выше в подразделе «Internet Explorer / Edge»).

Настройки Horizon Agent

Агент Horizon аналогично нуждается в скрупулезной и грамотной настройке, поэтому сейчас уделим ей немного внимания.

Правой кнопкой мыши кликаем на GPO «Horizon Agent Computer Settings» и нажимаем на «Edit». Слева, раскрываем «Computer Configuration» – «Policies» – «Administrative Templates» – «VMware View Agent Configuration» и заходим в «Agent Configuration». Для случая виртуальных десктопов открываем «Idle Time Until Disconnect (VDI)» (таймер простоя RDSH настраивается в параметрах самого RDS – см. выше в подразделе «Настройки служб удаленного рабочего стола»):

и настраиваем этот параметр по своему усмотрению.

Аналогично проделываем для «Disconnect Session Time Limit (VDI)» – этот параметр превалирует над настройкой пула «Logoff after Disconnect»:

Также нужно настроить там же «DPI Synchronization Per Connection»:

По умолчанию этот параметр выключен. Если его включаем, в результате DPI будет перенастроен при отключении вместо того, чтобы работать только при начальном входе:

Настройки протокола PCoIP

С целью несколько оптимизировать PCoIP можно задать несколько для него настроек. Для этого находим в наших скаченных GPO «Horizon Agent Computer Settings» и после правого клика на нем нажимаем «Edit». Слева раскрываем «Computer Configuration» – «Policies» – «Administrative Templates» – «PCoIP Session Variables» и кликаем на «Overridable Administrator Defaults». Справа в списке будет параметр «Configure clipboard redirection»:

Дважды кликаем на него, чтобы отредактировать, включив точкой на «Enabled», а также выбрав «Enabled in both directions» из выпадающего списка в опциях:

Затем находим там же параметр «Configure clipboard audit» и включаем его (проверяющий Event Viewer агента на предмет любой операции копипаста с агента в клиент):

Также настраиваем «Configure drag and drop direction»:

так, чтобы этот параметр был включен и функции перетаскивания работали в обоих направлениях (выбор из выпадающего списка):

Еще полезно настроить «Configure drag and drop formats» и «Configure drag and drop size threshold»:

Например, вот так:

Заслуживает внимания и опция фильтрации указанных форматов буфера обмена «Filter text out of the incoming/outgoing clipboard data»:

И, наконец, нужно дважды кликнуть на «Configure the PCoIP session audio bandwidth limit» для редактирования. Рекомендуется для пользователей WAN установить «100-150», либо можно начать с 300 КБ/с и уменьшать по мере необходимости:

Настройки Blast

По дефолту Blast разрешает лишь перенаправление буфера обмена с клиента на сервер. Эту настройку можно изменить в групповой политике.

Важно! Если есть нужда в трансфере файлов в HTML5 Blast, нужно настроить буфер обмена в обоих направлениях.

Для конфигурирования этого протокола кликаем правой кнопкой на GPO «Horizon Agent Computer Settings», раскрываем «Computer Configuration» – «Policies» – «Administrative Templates» – «VMware View Agent Configuration» и жмем на «Clipboard Redirection» (это в 2012-Horizon, если более старая версия, раскрывать нужно «Policies» – «Administrative Templates» и кликать на «VMware Blast»). Затем дважды – на «Configure clipboard redirection» справа:

Включаем этот параметр и выбираем тип перенаправления (отключено в обоих/включено только с клиента на сервер/включено в обоих/включено с сервера на клиент) в выпадающем меню:

Теперь в самом «VMware Blast» на левой панели находим справа «DSCP Marking» и добавляем нужные метки к Blast-протоколу:

Установка значений в диапазоне от 0 до 6 доступно для таких сетевых подключений:

  • DSCP из Agent, TCP/IPv4,
  • DSCP из Agent, TCP/IPv6,
  • DSCP из Agent, UDP/IPv4,
  • DSCP из Agent, UDP/IPv6,
  • DSCP из BSG в Client, TCP/IPv4,
  • DSCP из BSG в Client, TCP/IPv6,
  • DSCP из BSG в Client, UDP/IPv4,
  • DSCP из BSG в Client, UDP/IPv6,
  • DSCP из BSG в Agent, TCP/IPv4,
  • DSCP из BSG в Agent, TCP/IPv6,
  • DSCP из BSG в Agent, UDP/IPv4,
  • DSCP из BSG в Agent, UDP/IPv6,
  • DSCP из Client, TCP/IPv4,
  • DSCP из Client, TCP/IPv6,
  • DSCP из Client, UDP/IPv4,
  • DSCP из Client, UDP/IPv6.

Опционально можно включить UDP-протокол, если дважды кликнуть на «UDP Protocol» справа:

Важно! После включения UDP-протокола обязательно нужно перезагрузить машину на мастер-образе, чтобы она смогла прочитать эти настройки. Проверить включение UDP можно в файле «C:\ProgramData\VMware\VMware Blast\Blast-Service.log». Если все хорошо, следует проснэпшотить мастер-машину и отправить ее на свои пулы.

Интересным здесь является и параметр «H.264 High Color Accuracy»:

А также возможность настроить уровни «H.264 Quality»:

Настройки аудио/видео в режиме реального времени

Существует валидированная VMware c Microsoft Teams функция аудио/видео в режиме реального времени (RTAV).

Важно! Рекомендовано обеспечить 4 vCPU и минимум 4ГБ памяти для конфигурации опубликованных десктопов, а также разрешение видео в 640х480 px.

Для настройки разрешения видео кликаем правой кнопкой на GPO «Horizon Agent Computer Settings» и выбираем «Edit». Затем раскрываем «Computer Configuration» – «Policies» – «Administrative Templates» – «VMware View Agent Configuration», находим «View RTAV Configuration» в левой панели и раскрываем и ее тоже, после чего кликаем на «View RTAV Webcam Settings». Справа дважды нажимаем на «Resolution – Default image resolution height in pixels»:

Включаем параметр и в опциях ниже назначаем 480 px:

Далее там же открываем на редактирование параметр «Resolution – Default image resolution width in pixels», включаем его и внизу выбираем значение в 640 px:

Еще там есть несколько других параметров для максимальной высоты и ширины, при желании можно и им задать нужные ограничения.

Для работы с этой функцией следует выбрать RTAV как одну из опций при установке агента Horizon. Чтобы убедиться в том, что аудио захватывается ею вместо USB-перенаправления, следует проверить, исключено ли аудио из USB-перенаправления. Если оно включено, выключить его можно следующим образом:

  • Открываем правым кликом и выбором «Edit» GPO «Horizon Agent Computer Settings»;
  • Раскрываем «Policies» – «Administrative Templates» – «VMware View Agent Configuration» и нажимаем на «View USB Configuration»;
  • Справа дважды кликаем на «Exclude Device Family»:

  • Переключаемся на «Enabled» и внизу в опциях вводим «o:audio-in;o:video». Там же можно заблокировать и USB-устройства хранилища, если добавить еще и «o:storage»:

Настройка водяных знаков

Для защиты от несанкционированной съемки рабочего стола и приложений пользователя в Horizon последних версий предусмотрена функция «Watermark», актуальная как для десктопов, так и для приложений. Если ее включить, рабочий стол может выглядеть, например, вот так:

Для этого открываем на редактирование GPO «Horizon Agent All Users Settings» и проходим в «User Configuration» – «Policies» – «Administrative Templates» – «VMware View Agent Configuration» – «Watermark». Там будет единственный параметр справа «Watermark Configuration»:

На него дважды кликаем и настраиваем по своему усмотрению. Пример:

Настройка выгрузки мультимедийных файлов Microsoft Teams на клиентские устройства

По умолчанию, функция выгрузки аудио/видео выключена. Чтобы ее включить, открываем на редактирование GPO «Horizon Agent Computer Settings» и заходим в «Computer  Configuration» – «Policies» – «Administrative Templates» – «VMware View Agent Configuration» – «VMware HTML5 Features» – «VMware WebRTC Redirection Features». Редактируем параметр справа «Enable Media Optimization for Microsoft Teams», включив его:

Перенаправление HTML5

Чтобы настроить перенаправление браузера и мультимедиа в HTML5, нужно сделать следующее:

  • Открываем на редактирование GPO, применяемый к агентам Horizon;
  • Раскрываем «Computer Configuration» – «Administrative Templates» – «VMware View Agent Configuration» и кликаем на «VMware HTML5 Features»:

  • Справа находим параметр «Enable VMware HTML5 Features» и включаем его;
  • Заходим в дереве слева в «VMware Browser Redirection» и справа включаем параметр «Enable VMware Browser Redirection»:

  • Открываем выше него параметр «Enable URL list for VMware Browser Redirection» на редактирование и в открывшемся окне, после того, как поставили точку на «Enabled», ниже нажимаем на кнопку «Show» в опциях:

  • В появившемся списке добавляем URL, которые должен отображать клиент:

Теперь нам нужно отразить сделанную настройку в конфигурации Chrome. Для этого в редакторе его групповой политики либо в разделе, относящемся к настройкам компьютера, либо в том, что о пользовательских настройках, раскрываем «Policies» – «Administrative Templates» – «Google» – «Google Chrome» и кликаем на «Extensions». Справа дважды нажимаем на «Configure the list of force-installed apps and extensions»:

И в открывшемся окне после включения параметра нажимаем на кнопку «Show» в опциях:

Чтобы настроить перенаправление браузера вводим в открывшемся окне:

demgbalbngngkkgjcofhdiiipjblblob;https://clients2.google.com/service/update2/crx

Для перенаправления мультимедиа, в свою очередь:

ljmaegmnepbgjekghdfkgegbckolmcok;https://clients2.google.com/service/update2/crx

Перенаправление URL контента

Настройка перенаправления URL контента позволяет адресам IE перенаправляться с агент-клиент на клиент-агент. Сейчас мы покажем, как это делать в первом варианте, так как разговор идет конкретно о настройках политик агента. Что же касается направления клиент-агент, там все делается аналогично, с той разницей, что работаем с GPO клиента, а не агента.

Итак. Заходим в «Computer Configuration» – «Policies» – «Administrative Templates» и кликаем на «VMware Horizon URL Redirection». Справа дважды нажимаем на «IE policy: Automatically activate newly installed plugins» и включаем ее:

Далее включаем там же параметр «Url Redirection Enabled» и открываем на редактирование еще один параметр – «Url Redirection Protocol ‘http’»:

Здесь нужно настроить «clientRules» и «agentRules» (для схемы клиент-агент настраиваем только «agentRules»). Значения введены именно так, ибо «agentRules» переопределяет все, что заводится для «clientRules». Заданная конфигурация позволяет перенаправить любой URL к клиенту, однако некоторые адреса придержит для агента.

Важно! Если задаете сразу несколько URL, разделять их следует точкой с запятой.
Важно! Для направления клиент-агент помимо «agentRules» вписываем значения в поля «brokerHostname» и «remoteItem» (имя опубликованной иконки). Результатом станет перенаправление всего, что соответствует «agentRules» на «remoteItem», и доступ будет осуществляться через «brokerHostname»:

Настройка совместной работы

Сконфигурировать правила совместной работы в Horizon можно, если открыть на редактирование GPO «Horizon Agent Computer Settings», раскрыть «Computer Configuration» – «Policies» – «Administrative Templates» – «VMware View Agent Configuration» и кликнуть на «Collaboration»:

Справа можно задать максимальное число одновременных участников совместной сессии, если открыть на редактирование параметр «Maximum number of invited collaborators» справа (не более 10).

Что ж, разговор о Horizon, как ремонт – завершить нельзя, можно только прервать…

К сожалению, сегодня нам не удалось охватить и десятой части возможностей и частных ситуаций в администрировании Horizon 2012, в том числе и его коллаборацию, например, с Citrix, Horizon под Linux и другие, ведь уместить всю существующую информацию по этой теме можно, разве что, в некоем многотомном труде. Однако, надеемся, благодаря этой статье, хотя бы самые базовые и распространенные задачи десктопной виртуализации вам удастся решать с максимальным успехом. Если же хочется еще глубже погрузиться в эту тему, отправляйтесь на авторизованные курсы VMware Horizon 8, ищите соответствующие посты коммьюнити по интересующим вопросам, либо же обращайтесь к опытным консультантам сферы.