Tools zur dynamischen Erstellung von Benutzerumgebungen wie der RES Workspace Manager ermöglichen flexible Desktop-Modelle mit Windows.
von Wolfgang Sommergut (Betreiber der Online-Publikation WindowsPro)
Ein verändertes Nutzungsverhalten führt zu einem Nebeneinander von mehreren Technologien und Verfahren, um Desktop-Anwendungen bereitzustellen. Neben dem herkömmlichen stationären Arbeitsplatz-PC gewinnen mobile Geräte an Bedeutung, deren Spektrum von Windows-Notebooks bis zu Tablets und Smartphones reicht. Dabei zeichnet sich ab, dass die Mitarbeiter immer häufiger von mehreren Geräten auf ihren Desktop zugreifen wollen, darunter auch von solchen, die nicht unter Windows laufen.
Unter diesen Bedingungen erweist es sich als unvorteilhaft, wenn alle Anwendungen und Einstellungen fest mit einem bestimmten PC verbunden sind. Daher gibt es seit geraumer Zeit Bestrebungen, die traditionell eng verflochtenen Schichten eines Desktops, also das Betriebssystem, die Anwendungen sowie die Daten und Einstellungen der Benutzer voneinander zu lösen.
Für die Trennung der Anwendungen vom Betriebssystem existieren bereits gut etablierte Ansätze, allen voran die Terminaldienste, zumeist kombiniert mit Citrix XenApp. Sie erlauben die Bereitstellung von zentral am Server ausgeführten Windows-Programmen auf diversen Endgeräten.
Trennung der Anwendungen von Windows durch Virtualisierung
Zusätzlich gewannen in den letzten zwei bis drei Jahren diverse Tools zur Virtualisierung von Anwendungen an Bedeutung. Sie lassen Programme in einer Art Sandbox ablaufen und fangen ihre Versuche ab, Konfigurationsdaten in das System zu schreiben. Stattdessen werden diese Schreibzugriffe auf einen alternativen Speicherort umgelenkt.
Die Anwendungen können je nach Tool von einem Web- oder File-Server sowie von einem USB-Stick gestartet werden. Zur Auswahl steht meistens zusätzlich ein Streaming-Verfahren. Auf diese Weise lassen sich Anwendungen auf verschiedenen Windows-Rechnern oder auch in virtuellen Desktops ausführen, ohne dass sie dort installiert werden müssen.
Unzureichende Bordmittel zur Abstraktion der Benutzerumgebung
Allerdings reicht es für ein produktives Arbeiten in der Regel nicht aus, wenn Benutzer nur die Anwendungen bekommen, aber nicht ihre persönlichen Einstellungen und Daten. Windows bringt zwar mit den Server-gespeicherten Profilen, der Ordnerumleitung und Offline-Dateien eigene Mechanismen mit, die dafür sorgen sollen, dass diese Informationen mit dem User mitwandern. Allerdings weisen sie eine Reihe von Schwächen auf, die sie besonders für Umgebungen unbrauchbar machen, in denen lokale Anwendungen mit virtualisierten und solchen auf dem Terminal-Server kombiniert werden oder wo lokale und zentrale virtuelle Desktops nebeneinander existieren. Hinzu kommt, dass die Benutzerprofile zwischen XP und Vista bzw. Windows 7 nicht miteinander kompatibel sind, so dass Roaming Profiles in gemischten Umgebungen aus mehreren Windows-Versionen nicht funktionieren.
Aufgrund dieser Mängel gibt es eine Reihe von Tools von Drittanbietern, die sich speziell dem Profil-Management und der Überwindung von Kompatibilitätsproblemen sowie der Migration dieser User-bezogenen Daten auf Windows 7 widmen. Die komplexeren Tools für das User Environment Management übernehmen diese Aufgabe ebenfalls, entwickeln aber ein wesentlich weitergehendes Konzept der Benutzerumgebung.
Workspace Manager: mehr als Profil-Management
Dazu zählen im Fall des Workspace Manager 2011, einem Tool des holländischen Herstellers RES Software, unter anderem die zentrale Zuordnung von Netzlaufwerken und Druckern, die Assoziation von Dateiendungen mit Programmen sowie die Konfiguration von ODBC-Datenquellen und der Arbeitsoberfläche. Höhere Editionen des Tools bieten zusätzlich noch ein Application Whitelisting, mit dem sich unerwünschte Anwendungen blockieren lassen, ein Management von USB-Geräten, das den Missbrauch von externen Datenträgern unterbinden soll, sowie die Ausführung von Anwendungen, die administrative Privilegien erfordern, unter Konten mit geringeren Rechten.
Der Workspace Manager bereichert eine Windows-Umgebung somit nicht um viele grundsätzlich neue Funktionen. Vielmehr deckt er im Wesentlichen ein Spektrum ab, für das die Microsoft-Infrastruktur viele eigene Features mitbringt. Allerdings stoßen diese bei höheren Anforderungen häufig an ihre Grenzen (etwa Roaming Profiles, USB-Management), sind über verschiedene Tools verstreut oder nicht flexibel genug.
Zentrales Management aller User-Aspekte
Ein Vorzug des Tools ist es, dass es alle Aspekte, die eine Benutzerumgebung ausmachen, von einer Konsole aus verwalten kann. Dort versammeln sich dann Funktionen, die relativ primitive Windows-Techniken komplett ersetzen, oder sie dienen nur als Schnittstelle zu Windows-eigenen Techniken, etwa zu Gruppenrichtlinien. Darüber hinaus versteht sich der Workspace Manager als Alternative zu Login-Scripts und erspart Unternehmen damit weitgehend die Programmierung und Weiterentwicklung von Batch-Dateien und vbs-Code.
Von diesen herkömmlichen Methoden hebt sich der Workspace Manager nicht nur durch sein zentrales Management ab, sondern vor allem auch durch das Konzept des Kontexts. Es verleiht dem Tool erst die Flexibilität, die Windows selbst in vielen Fällen fehlt. Hinter diesem Begriff versteckt sich nichts anderes als die Möglichkeit, eine Vielzahl von Kriterien zu definieren, die erfüllt sein müssen, damit eine Regel angewandt wird. Zusätzlich lassen sich Computer abhängig von bestimmten Eigenschaften in Containern zusammenfassen, beispielsweise alle Notebooks oder Desktops, um Aktionen auf die darin enthaltenen Geräte anzuwenden. Eine weitere Möglichkeit der Gruppierung sehen die Zonen (Standort und Geräte) vor, bei denen es sich im Prinzip um ein Bündel von Bedingungen handelt. Von ihnen kann man bis ins Detail abhängig machen, wie die dynamisch erzeugte Benutzerumgebung aussieht.
Beispiele für kontextabhängige Konfigurationen
In der Praxis könnte man beispielsweise eine Zone einrichten, die alle PCs mit installiertem DVD-Brenner versammelt. Anschließend würde man über das Whitelisting von Applikationen eine Brenner-Software nur dort zulassen. Ein anderes Beispiel könnte so aussehen, dass man auf bestimmte Laufwerkszuordnungen verzichtet, wenn sich der User an einem Terminal-Server anmeldet, diese aber bei einer lokalen Session aktiviert. Da der Workspace Manager auch die Zuordnung von Dateitypen zu Applikationen verwaltet, bestünde eine weitere Konfiguration etwa darin, dass man .doc-Dateien außerhalb des Firmennetzes mit einem Viewer assoziiert und innerhalb des Unternehmens mit Word.
Die Möglichkeiten, um bestimmte Aktionen von irgendwelchen Kriterien abhängig zu machen, sind nahezu unbeschränkt. Neben der Zugehörigkeit zu Organisationseinheiten oder Gruppen im Active Directory, der IP-Adresse, beliebigen Umgebungsvariablen oder Registry-Schlüsseln lassen sich dafür auch die Seriennummer eines USB-Geräts oder der Sitzungstyp (z.B. lokale Session vs. Terminal-Server) heranziehen.
Zero-Profile-Technik statt Benutzerprofile
Der RES Workspace Manager ist kein bloßes Migrations-Tool für Profile, sondern verwaltet die Benutzereinstellungen unabhängig von den Windows-Mitteln ("Zero Profile", Details dazu im Beitrag auf WindowsPro). Aus diesem Grund beginnt die Umstellung auf zentral verwaltete Benutzerumgebungen im Normalfall nicht damit, dass man vorhandene Profile komplett in das neue System übernimmt. Vielmehr geht es um den planvollen Aufbau eines Desktops, der sich verschiedenen Kontexten dynamisch anpasst. Beim Workspace Manager ist dafür maßgeblich das Modul Composition & Personalization zuständig, das Bestandteil aller Editionen ist.
Seine zentrale Funktion besteht im so genannten Application Management. Gemeint ist damit, dass Administratoren hier bestimmen können, welche benutzerspezifischen Einstellungen welcher Anwendungen zu welchem Zeitpunkt gespeichert werden sollen und wie ausgewählte Programme dem Benutzer mittels Verknüpfungen im Startmenü, in der Schnellstartleiste oder auf dem Desktop präsentiert werden. Dieses Feature erlaubt ein feingranulares Management der benutzerspezifischen Einstellungen, das für jedes Programm einzeln erfolgen kann.
Workspace Manager verwaltet nur die User-spezifischen Änderungen
Grundsätzlich geht es also darum, positiv festzulegen, welche individuellen Konfigurationen von Programmen aufbewahrt werden sollen. Technisch schlägt sich dieser Ansatz darin nieder, dass der Workspace Manager die vom Benutzer verursachten Änderungen abfängt und nur sie standardmäßig im Verzeichnis "pwrmenu" unterhalb des Home-Verzeichnisses speichert. Alle anderen Einstellungen, die nicht vom Benutzer oder zentral vom Administrator über den Workspace Manager festgelegt wurden, kommen vom Benutzerprofil, das der User auf dem aktuellen PC vorfindet.
Wurde die Option gewählt, dass die Einstellungen mit dem Benutzer auf alle Geräte mitwandern sollen, dann muss im Gegensatz zu den Roaming Profiles daher nur eine relativ geringe Datenmenge übertragen werden. Praktisch ist zudem, dass modifizierte Werte auf Wunsch sofort erfasst werden und daher in anderen Umgebungen, etwa in einer Session auf dem Terminal-Server, gleichzeitig greifen. Dagegen schreiben Sever-gespeicherte Profile die gesamten Daten erst beim Ausloggen des Users in eine zentrale Ablage.
Architektur und Systemvoraussetzungen
Der Workspace Manager besteht aus einer Datenbank, einer Konsole und einem Agent auf jedem verwalteten Rechner. Die Client-Komponente ist als Kernel-Treiber implementiert, so dass sie sich auch nicht von lokalen Administratoren aushebeln lässt. Ihre Aufgabe besteht darin, beim Anmelden eines Benutzers den Desktop dynamisch aus den gespeicherten Einstellungen und den Vorgaben des Administrators zusammenzustellen. Während der User-Session erzwingt der Agent die Einhaltung aller Regeln, die dem Anwender bzw. dem Rechner auferlegt wurden. Ist der Rechner offline, wie es typischerweise bei Notebooks vorkommt, dann kann der Agent Regeln und Einstellungen aus seinem lokalen Cache entnehmen.
Für die Installation des Agents verwendet man die gleiche Setup-Datei, die man auf den Administrations-PC benötigt, wobei sich das MSI-Paket über Parameter steuern und somit ohne Benutzerintervention installieren lässt. Die Admin- und die normale Client-Installation gleichen sich auch darin, dass sie direkt mit der Datenbank kommunizieren, also keine wie immer geartete Server-Anwendung dazwischengeschaltet ist. Daher muss man auf allen verwalteten Rechnern die Verbindungsinformationen zur Datenquelle hinterlegen.
Der Workspace Manager unterstützt eine Reihe von Datenbanken, darunter auch SQL Server Express oder SQL Azure. Die Anforderungen an sie sind nicht besonders groß, da RES dort weder Benutzerdaten noch die Einstellungen speichert, sondern in ihnen nur das Regelwerk verwaltet.
Die Software wird standardmäßig in einer englischen oder holländisch lokalisierten Oberfläche ausgeliefert, Deutsch kann man über ein Sprachpaket nachladen, das auf der Website des Herstellers zum Download zur Verfügung steht. Allerdings liegen alle Anleitungen und Dokumentationen nur in Englisch vor, so dass es vermutlich für die meisten Administratoren einfacher ist, beim englischen Interface zu bleiben.
(Computerwoche / rb)