FSLogix Application Masking: Installation, Konfiguration, Vergleich mit App Layering

In diesem Blogbeitrag geht es um ein weiteres FSLogix-Modul - Applikation Masking. In einem vorherigen Blogbeitrag habe ich einen Versuch unternommen, FSLogix Profil Container mit Citrix App Layering zu verglichen. In diesem Beitrag versuche ich Applikation Masking mit App Layering zu vergleichen. Eine kleine Konfigurationsanleitung finden Sie ebenfalls hier.

Was ist Applikation Masking und wofür wird es angewendet

Applikation Masking wird hauptsächlich auf dem Master Image installiert und ermöglicht eine granulare Zugriffssteuerung der installieren Anwendungen (auch Drucker, Schriftarten und sonstigen Ressourcen). Anhang der erstellten Regeln kann eine Anwendung vollständig versteckt werden, sodass diese Anwendung nirgendwo mehr zu finden wäre (File System, Registry oder Programme und Features). Die Regeln, die zur Zugriffssteuerung genutzt werden, können basierend auf folgenden Kriterien konfiguriert werden:

  • Benutzer
  • Benutzergruppen
  • Netzwerkstandorten
  • Computername
  • Active Directory Containern (OU)
  • Variable (Computernamen)

Es gibt zwei Einsatzszenarien in denen die Nutzung von Applikation Masking besonders interessant ist:

1. Ressourcen sparen. Applikation Masking kann die Anzahl der zu pflegenden Master Images drastisch reduzieren, da alle Anwendungen auf einem einzigen (oder wenigen) Base Image installiert werden können*. Dadurch kann die Anzahl des Silos wesentlich verringert werden.

2. Lizenzkosten minimieren. Je nach Hersteller können die Lizenzierungsbedingungen sehr unterschiedlich sein. Die Einhaltung der Lizenz-Compliance war in der Vergangenheit einer der wichtigsten Argumente zur FSLogix-Anschaffung.

Nehmen wir mal als Beispiel Microsoft Visio (oder Project). Wenn Sie auf einem Citrix Virtual App Server (XenApp Worker) ein MS Visio Packet installieren, dann mussten Sie für jeden Client eines potenziellen Benutzers eine MS Visio Lizenz vorweisen. Wenn Sie z.B. nur 10x MS Visio Lizenzen gekauft haben, dann mussten Sie die Farm dementsprechend physisch aufteilen, um den Zugriff auf die maximal 10 Geräte zu beschränken. Bevor FSLogix auf den Markt kam, gab es nur eine Lösung (AppSense), mit der die Ausführung der visio.exe anhand der MAC-Adresse Microsoft-konform gesteuert werden konnte.

* ob alle Anwendungen auf einem Image installiert werden sollten, ist sicherlich von der Anzahl und der Größe der Anwendungen abhängig. In der Theorie konnte man versuchen, so viele Applikationen wie möglich auf einem Image zu installieren. Man sollte in diesem Fall die zwei folgenden Punkte beachten: die Kompatibilität der Applikationen untereinander und die Größe des Images.

 

Funktionsweise und Komponenten

Wenn der Benutzer sich anmeldet, überprüft der Service die existierenden Konfigurationsdateien und setzt die Zuweisung der Applikationen den Regeln entsprechend um. Das Löschen oder das Hinzufügen von neuen Regeln/Assigment Files hat eine sofortige Wirkung auf das System. Die in den Dateien konfigurierten Anwendungen werden entweder sichtbar, oder versteckt.

 

FSLogix AppMasking

 

FSLogix-AgentFSLogix Service

Der Agent ist eine Software Komponente (eigentlich die einzige Architekturkomponente), die alle Funktionalitäten für alle FSLogix Produkte beinhaltet. Der FSLogix-Agent kann auf physischen PCs, virtuelle Desktops, Server oder in einem Master-Image installiert werden. FSLogix-Agent steuert auch den sogenannten Filtertreiber. Der Filtertreiber (frxdrv.sys) regelt die Zugriffe auf die ausgewählten Komponenten und versteckt diese anhand der vorherigen Konfiguration.

Der Installierte Agent läuft als Windows-Service „FSLogix Apps Services“.

FSLogix Apps RuleEditor

Wie der Name schon sagt, wird der Regeleditor für die Erstellung und für die Zuweisung von Regeln verwendet. Außerdem beinhaltet das Tool eine AD Reporting Option, die es ermöglicht, direkt festzustellen, ob die Zuweisung korrekt funktioniert. Der FSLogix Apps RuleEditor wird auf einer separaten VM, die für die Erstellung der Regeln genutzt wird, installiert.

FSLogix Rule File(s) – beinhalten die Konfiguration der einzelnen Applikationen.

FSLogix Rule Assigment File(s) – beinhalten die notwendigen Zuweisungsinformationen (Username, Groupname, AD Container, Computername, IP address usw.)

Die Rule Files und Rule Assigment Files werden standardmäßig im dem Ordner C:\Users\Username\Documents\FSLogix Rule Sets abgespeichert. Um die Zuweisung aktiv zu schalten, müssen die beiden Files in den Ordner C:\Program Files\FSLogix\Apps\FSLogix kopiert werden.

 

FSLogix Application Masking vs. Citrix App Layering

Es ist wahrscheinlich nicht ganz korrekt, beide Lösungen miteinander zu vergleichen, da diese technologisch sehr unterschiedlich sind und oft in den unterschiedlichen Szenarien eingesetzt werden.

Gemeinsamkeiten

Wenn wir mal den Haupteinsatzzweck der beiden Lösungen vergleichen, dann kommen wir auf einen gemeinsamen Nenner. Die Anzahl der Base Images und die damit verbundenen XenApp Silos kann durch den Einsatz von beiden Lösungen reduziert werden. In vielen Projekten wird bei Layered Images die Gesamtzahl der Images nicht reduziert, aber die Erstellung der Images automatisiert und die Wartung vereinfacht.

FSLogix AppMasking Silos

 

Man könnte den Elastic Layer annähernd mit Application Masking vergleichen, da in beiden Fällen die Möglichkeit einer dynamischen Zuweisung von Applikation auf Basis der AD Berechtigung angeboten wird.

Pro Application Masking

  • Es entstehen keine zusätzlichen Kosten, wenn wir Citrix Virtual Apps and Desktops einsetzten, dann haben wir FSLogix quasi zusammen mit den RDS CALs bereits gekauft. App Layering hingegen setzt eine Lizenz mit aktiven Customer Success Services voraus. Wenn die erweiterten Funktionen gewünscht sind, wird sogar eine Premium Lizenz notwendig.
  • Es ist keine zusätzliche Infrastruktur notwendig, also keine Enterprise Layering Manager (ELM) Appliance, keine Packaging Machine und kein Layer Repository.
  • Da alle genannten Komponenten nicht benötigt werden, reduziert dies deutlich die Komplexität, die eine Einführung von App Layering mit sich bringen würde. FSLogix lässt sich sehr intuitiv administrieren. App Layering hingegen braucht eine gewisse Einarbeitungszeit.
  • Die Verwendung von Application Masking ermöglicht die Einhaltung der Lizenz-Compliance und kann die Lizenzkosten deutlich minimieren. Die Funktion ist ein Must-Have-Feature wenn die User-based- und/oder Machine-based-Lizenzierung erforderlich ist (und Sie keine Silos bauen wollen).

Pro App Layering

  • Citrix App Layering punktet im Bereich Update-, Patch-Management, da nur die einzelnen Layer bei Bedarf aktualisiert werden. Dies erspart eine Menge Zeit im Vergleich mit der Pflege von vielen einzelnen Base Images.
  • Sie können Layered Images bauen, mit Applikationen, die nicht zueinander kompatibel sind (bspw. unterschiedliche IE Versionen, Java Versionen, etc…).
  • Mit App Layering können Sie dafür sorgen, dass die erstellten Disks nur aus den Layer bestehen, die man wirklich braucht. So können die Systeme schlang bleiben.

Fazit

Es fällt mir relativ schwer an dieser Stelle eine Schlussfolgerung ziehen, da mein Vergleich ziemlich einseitig aussieht. Außerdem wird der Vergleich einigen Lesern wie ein Apfel/Birne Vergleich erscheinen. Überraschenderweise konnte ich nicht so viele Punkte finden, die für einen App Layering Einsatz sprechen würden.

Wenn Sie App Layering bereits im Einsatz haben, dann können Sie beide Losungen miteinander kombinieren. Wenn es nicht der Fall ist, können Sie höchstwahrscheinlich auch ohne App Layering auskommen, insbesondere wenn Sie eine Software Deployment Lösung einsetzen. Auch eine die Möglichkeit den User Personalization Layers unabhängig separat von App Layering zu betreiben, spricht eher für FSLogix.

Lesenswertes zum Thema: Citrix Blog: Leveraging new FSLogix platform capabilities in virtual environments

Konfiguration

Die Konfiguration besteht aus wenigen Schritten:

FSLogix AppMasking Steps

 

1. Für eine installierte Anwendung wird eine Konfigurationsdatei (FSLogix Rule File) erstellt, die Informationen (Dateipfade, Registry-Werte) beinhaltet, die zum Verstecken der Anwendung notwendig sind.

2. Im nächsten Schritt wird dieser Konfigurationsdatei mit der Usergruppe (wie auf dem Bild oben zu sehen ist) verknüpft.

Sie können an dieser Stelle entscheiden, wie Ihr Regelwerk funktionieren soll:

Assignment Beispiel

Das Regelwerk versteckt die zu konfigurierende Anwendung vor jedem angemeldeten Benutzer und nur die ausgewählte Gruppe darf auf die App zugreifen.

An dieser Stelle haben Sie zwei Optionen, wie Sie die Konfiguration testen können:

  • Die Option Assignment: Diese Option funktioniert nur, wenn Sie die Konsole FSLogix Apps RuleEditor) als Administrator gestartet haben.
  • AD Reporting bietet die Möglichkeit die konfigurierten Regeln Anhang eines Benutzers zu verifizieren.

3. Kopieren Sie beide Dateien in den Ordner: C:\Program Files\FSLogix\Apps\FSLogix. Leider gibt es keine effektive Methode die Rule Files in den Zielordner zu verschieben. Sie können z.B. die Group Policy Preferences verwenden und die Regeln-Datein zu verteilen.

Beachten Sie, dass die Einstellungen sofort greifen. Wenn die Konfigurationsdateien entfernt werden, dann werden die konfigurierten Regeln auch sofort außer Kraft gesetzt.

 

Installation

Unter dem folgenden Link können Sie die neueste Version herunterladen: Fslogix_Download

FSLogix Application Masking benötigt beide Komponenten:

FSLogix Install

FSLogixAppRuleEditor kann auf einem Zielsystem installiert werden. Es wäre aber sinnvoll zwecks Regelerstellung eine separate VM zu verwenden.  (Aussage verifizieren)

Installation von beiden Komponenten ist extrem einfach und besteht aus wenigen Klicks:

  1. FSLogixAppSetup.exe / FSLogixAppRuleEditorSetup.exe starten
  2. Wählen Sie die Option „Ich akzeptiere die Lizenzvereinbarung” und klicken Sie Install
  3. Die Installation ist abgeschlossen

 

Konfiguration

1.1. Starten den FSLogix Apps Rule Editor. Es ist empfehlenswert den Editor als lokaler Administrator zu starten, dann habe Sie die Möglichkeit die Assignment Option zu nutzen.  

101 Apps RuleEditor

1.2. Klicken Sie auf das grün markierte Symbol, um ein Rule Set zu erstellen. (alternative Methode: File > New)

102 Apps RuleEditor

1.3. Geben Sie den Dateiname ein und klicken Sie auf den Enter file Name – Button

103 Apps RuleEditor

1.4. Wählen zunächst die Sie die Option Choose from installed programs aus, danach die Anwendung, die Sie versecken wollen. Program Installation Directory wird bei der meisten Anwendungen automatisch eingetragen, wenn dies nicht der Fall ist, klicken auf den Browse-Button und wählen den Installation-ordner. Drücken Sie anschließend den Button Scan

104 Apps RuleEditor

1.5. Der Scan-Vorgang dauert nur wenige Sekunden. Bei Bedarf können Sie eine weitere Anwendung zu demselben Set hinzufügen. Wenn dies der Fall ist, dann klicken Sie den Add Another Application - Button. Sonst klicken Sie auf OK

105 Apps RuleEditor

1.6. Im weiteren Schritte weisen wir die konfigurieren Regeln der entsprechenden Gruppe zu. Klicken Sie auf das grün markierte Symbol (alternativ: File > Manage Assignment).

In der unteren Leiste sehen Sie auch die Anzahl der Rules.

Assignment

106 Apps RuleEditor

 

2.1. Klicken auf Add. Wir haben hier eine Wahl zwischen:007 FSLogix AppMasking CreateRules

  • User
  • Group
  • Process
  • Network Location
  • Computer
  • AD Container
  • Variable

Wie wählen die Option Group

107 Apps RuleEditor

2.2. In dem geöffneten Fenster tragen Sie den Gruppenname in das Feld Group ein.

008 FSLogix AppMasking CreateRules

2.3. Jetzt sollen Sie die Zuweisung korrekt konfigurieren.

  • Everyone wird von No auf Yes umgestellt. Everyone-Zeile auswählen und die Auswahlmenü Rule Set does apply to user/group anklicken. Dies bedeutet, dass jeder Benutzer, der sich auf dem kongruierten System anmeldet, der Acrobat Reader nicht mehrsehen darf. 

 009 FSLogix AppMasking CreateRules

  • DEMO\CTX-App-Acrobat-Reader wird von No auf Yes umgestellt. Dies bedeutet, dass nur die Mitglieder dieser Gruppe die konfigurierte Anwendung sehen und benutzen dürfen. 

Anschließend klicken Sie auf Apply-Button 

 010 FSLogix AppMasking CreateRules

 

AD Reporting

Nach der Erstellung der Regeln können Sie mit Hilfe der Option AD Reporting die getätigte Konfiguration überprüfen.
Ihnen stehen zwei Optionen zur Auswahl, wie Sie die AD Reporting starten können:

  1. AD Reporting - Button: die blau markierte Fläche (s. oberes Bild)
  2. AD Reporting - Symbol Symbol in der Navigationsleiste (s. unteres Bild)

 110 2 Apps RuleEditor

3.1. Klicken Sie auf den Button New Query

201 AD Reporting

3.2. Tragen Sie den Username ein, den Sie überprüfen wollen und klicken Sie auf Check Names

202 AD Reporting

3.3. Ergebnisbeispiel, wenn die Richtlinien nicht greifen (Anwendung nicht versteckt)

203 AD Reporting

3.4. Ergebnisbeispiel, wenn die Richtlinien greifen (Anwendung wird nicht angezeigt)

204 AD Reporting

 

Lizenzverwaltung

FSLogix bietet zwei weitere nützliche Optionen im Bereich Lizenzverwaltung: Licensing Parameters und Licensing Report. Die unteren Einstellungen sind nur für die gerätebasierte (device-based licensing) Lizenzierung vorgesehen.

  1. File > Change Licensing Parameters (blau markiert)
  2. File > Licensing Report (grün markiert)

012 FSLogix Licensing Parameters

Lizenzierungsparameter

In dem unteren Feld können Sie die minimale Anzahl der Tage eingeben, wie lange eine Lizenz einem Gerät zugewiesen wird. Die angegebene Zahl wird im Rule Set der jeweiligen Anwendung eingetragen.

013 FSLogix Licensing Parameters

Lizenzreport

Hier können Sie einen Bericht (in PDF-Format) erstellen, um die vorherigen Lizenzzuweisungen anzuzeigen. Passen den Bereich an und klicken Sie auf OK

014 FSLogix Licensing Report

 

Offizielle Microsoft Dokumentation / Nutzliche Links:

 

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren