Tags: Sicherheit, Benutzerprofile, Gruppenrichtlinien
Der Workspace Manager 2011 von RES Software fällt in eine Kategorie, die häufig mit User Environment Management oder User-Virtualisierung beschrieben wird. Auch wenn dieses Konzept nicht klar definiert ist, so ist es jedenfalls mehr als nur die Verwaltung von Benutzerprofilen. Der Workspace Manager ist eines funktionsreichsten Produkte in diesem Segment und bietet neben einer Alternative zu den Windows-Profilen je nach Edition noch Features wie das Geräte- und Applikations-Management und sogar einen Ersatz für den Explorer.
Ein wesentliches Anliegen von RES Software ist es, alle Aspekte, die eine Benutzerumgebung ausmachen, von einer Konsole aus verwalten zu können. Dort versammeln sich dann Funktionen, die relativ primitive Windows-Techniken komplett ersetzen (etwa Software Restriction Policy, um die Nutzung von Anwendungen einzuschränken) oder die nur eine Schnittstelle zu Windows-eigenen Techniken nutzen, etwa für Gruppenrichtlinien.
Alternative zu etablierten Windows-Features
Der Workspace Manager bereichert daher eine Windows-Umgebung nicht um viele grundsätzlich neue Funktionen. Vielmehr deckt er im Wesentlichen ein Spektrum ab, für das die Microsoft-Infrastruktur großteils eigene Features mitbringt. Allerdings stoßen diese bei höheren Anforderungen häufig an ihre Grenzen (etwa Roaming Profiles, USB-Management), sind über verschiedene Tools verstreut oder nicht flexiblel genug.
Das Tool stellt zum einen mit seiner Zero-Profile-Technologie eine Alternative zu den Windows-Profilen bereit. Zum anderen erledigt der Workspace Manager weitere Aufgaben, für die es durchaus etablierte Verfahren gibt. So erfolgt die Zuordnung von Netzlaufwerken und Druckern normalerweise über Group Policy Preferences oder Login-Scripts, die Synchronsierung von zentral gespeicherten Benutzerdaten mit mobilen Geräten über Offline-Dateien oder die Konfiguration des Desktops oder das Sperren von USB-Geräten mittels Gruppenrichtlinien.
Dynamischer Desktop abhängig von vielen Variablen
Von diesen Methoden hebt sich der Workspace Manager nicht nur durch sein zentrales Management ab, sondern vor allem auch durch das Konzept des Kontexts. Er verleiht dem Workspace Management erst die Flexibilität, die Windows selbst in vielen Fällen fehlt.
Hinter diesem Begriff versteckt sich nichts anderes als die Möglichkeit, eine Vielzahl von Kriterien zu definieren, die erfüllt sein müssen, damit eine Regel angewandt wird. Zusätzlich lassen sich Computer abhängig von bestimmten Eigenschaften in Containern zusammenfassen, beispielsweise alle Notebooks oder Desktops.
Eine weitere Möglichkeit der Gruppierung sehen die Zonen (Standort und Geräte) vor, bei denen es sich im Prinzip um ein Bündel von Bedingungen handelt. Von ihnen kann man bis ins Detail abhängig machen, wie die dynamisch erzeugte Benutzerumgebung aussieht.
Beispiele
In der Praxis könnte man beispielsweise eine Zone einrichten, die alle PCs mit installiertem DVD-Brenner versammelt. Anschließend würde man über das Whitelisting von Applikationen eine Brenner-Software nur dort zulassen. Ein anderes Beispiel könnte so aussehen, dass man auf bestimmte Laufwerkszuordnungen verzichtet, wenn sich der User an einem Terminal-Server anmeldet, diese aber bei einer lokalen Session aktiviert.
Da der Workspace Manager auch die Zuordnung von Dateitypen zu Applikationen verwaltet, bestünde eine weitere Konfiguration etwa darin, dass man .doc-Dateien außerhalb des Firmennetzes mit einem Viewer assoziiert und innerhalb des Unternehmens mit Word.
Die Möglichkeiten, um bestimmte Aktionen von irgendwelchen Kriterien abhängig zu machen, sind nahezu unbeschränkt. Neben der Zugehörigkeit zu OUs oder Gruppen im AD, der IP-Adresse, beliebigen Umgebungsvariablen oder Registry-Schlüsseln lassen sich dafür auch die Seriennummer eines USB-Geräts oder wie erwähnt der Sitzungstyp heranziehen.
Zentrale Konfiguration von Dateitypen, ODBC und Mail-Clients
Dieser Kontext steht in allen Modulen des Workspace Manager zur Verfügung. Das gilt auch für die Kernkomponente Composition & Personalization, die in allen Editionen enthalten ist. Sie umfasst die Funktionen zur Abstraktion von Benutzerprofilen und speichert die benutzer- und anwendungspezifischen Einstellungen in einem eigenen Format in einem wählbaren Verzeichnis.
Diese Profil-Alternative ist außerdem zuständig für die Verwaltung von ODBC-Datenquellen, für die Zuordnung von Dateitypen zu Programmen, die zentrale Konfiguration von Mail-Clients, das Laufwerks- und Printer-Mapping und die Gestaltung des Desktops, wobei das Tool hier eine für alle Windows-Versionen geeignete Shell anbietet, die den Explorer ersetzen kann.
Whitelisting für Anwendungen und Device-Management
Nur in der Gold Edition bietet der Workspace Manager ein zusätzliches Security-Modul, das als wichtigste Features das Management von Wechseldatenträgern und das Sperren von nicht erwünschten Anwendungen beherrscht. Das Device-Management geht nicht so weit wie bei den darauf spezialisierten Tools für Endpoint Security, es dürfte in der Praxis den meisten Anforderungen genügen.
Erwartungsgemäß nimmt die Silver Edition eine Zwischenposition zwischen der Gold und der Bronze Edition ein. Bei den Features ist sie weitgehend identisch mit der kleinsten Ausführung, bietet aber darüber hinaus fortgeschrittene Möglichkeiten zur Administration, so dass sich verschiedene Rollen definieren lassen, an die Aufgaben delegiert werden können. Zusätzlich bringt sie Funktionen für detailliertes Auditing und Usage Tracking mit.
Architektur und Systemvoraussetzungen
Der Workspace Manager besteht aus einer Datenbank, einer Konsole und einem Agent auf jedem verwalteten Rechner. Die Client-Komponente ist als Kernel-Treiber implementiert, so dass sie sich auch nicht von lokalen Administratoren aushebeln lässt. Ihre Aufgabe besteht darin, beim Anmelden eines Benutzers den Desktop dynamisch aus den gespeicherten Einstellungen und den Vorgaben des Administrators zusammenzustellen.
Während der User-Session erzwingt der Agent die Einhaltung aller Regeln, die dem Anwender bzw. dem Rechner auferlegt wurden. Ist der Rechner offline, wie es typischerweise bei Notebooks vorkommt, dann kann der Agent Regeln und Einstellungen aus seinem lokalen Cache entnehmen.
Für die Installation des Agents verwendet man die gleiche Setup-Datei, die man auf den Administrations-PC benötigt, wobei sich das MSI-Paket über Parameter steuern und somit ohne Benutzerintervention installieren lässt. Die Admin- und die normale Client-Installation gleichen sich auch darin, dass sie direkt mit der Datenbank kommunizieren, also keine wie immer geartete Server-Anwendung dazwischengeschaltet ist. Daher muss man auf allen verwalteten Rechnern die Verbindungsinformationen zur Datenquelle hinterlegen.
Der Workspace Manager unterstützt eine ganze Reihe von Datenbanken, darunter auch SQL Server Express oder SQL Azure. Die Anforderungen an sie sind nicht besonders groß, da RES dort weder Benutzerdaten noch die Einstellungen speichert, sondern in ihnen nur das Regelwerk verwaltet.
Die Software wird standardmäßig in einer englisch oder holländisch lokalisierten Oberfläche ausgeliefert, Deutsch kann man über ein Sprachpaket nachladen, das auf der Website des Herstellers zum Download zur Verfügung steht. Allerdings liegen alle Anleitungen und Dokumentationen nur in Englisch vor, so dass es vermutlich für die meisten Administratoren einfacher ist, beim englischen Interface zu bleiben.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- RES Software veröffentlicht Workspace Manager 2012
- RES Workspace Manager im Test: Alternative zu Benutzerprofilen
- NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien
- Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
Weitere Links