Active Directory ile VDI User Profile Management – 1
Kullanıcılarınızın masa üstü öğeleri, browser için sık kullanılan linkleri veya kişisel ayarlarının her logon olduğunda sıfırlandığını düşünün? Böyle bir ortamda kullanıcıların çalışması mümkün olmayacaktır. Alışkın olduğumuz kullanıcı masa üstleri için aslında böyle bir risk yoktur. Çünkü mevut bir laptop veya masa üstü bilgisayarı kendileri için sabit olarak kullanmakta ve hep aynı kullanıcı profilini yüklemektedir. Ancak VDI ortamlarında işler biraz değişiktir. VDI ortamlarındaki kullanıcı profil yönetimine geçmeden önce kısaca VDI nedir ondan bahsetmek istiyorum.
VDI teknolojisi Sanal Masaüstü Altyapısı’ dır. Veri merkezimizin içinde bulunan Sanal bilgisayarların uzak masa üstü protokolleri sayesinde son kullanıcılarımızın hizmetine sunulmasıdır. Sanallaştırma teknolojileri içinde bulunan ve belki de toplam sahip olma maliyetlerinde azalma göstermeyen ve aksine toplam sahip olma maliyetlerinde artış gösteren bir sanallaştırma çözümüdür. Çünkü VDI teknolojisinde yatırım son kullanıcı bilgisayarlarına değil, veri merkezlerimizin içine yapılmaktadır. Bu sebepten ötürü, veri merkezi yatırımları pahalı olduğu için maliyetlerimizi arttıran bir teknolojidir.
VDI teknolojisiyle ilgili yanlış bilinen bir inanç vardır. Birçok kurum şu düşünce içinde olabilirler;
“VDI teknolojisiyle birlikte son kullanıcı aygıt yatırımını düşürdük ve son kullanıcılarımıza Aptal Terminaller tahsis ettik, son kullanıcılarımıza zengin kaynaklara sahip bir donanım vermedik. Böylelikle VDI teknolojisi sayesinde toplam sahip olma maliyetlerimizde tasarruf elde ettik”
Yukarıda aktarılan düşünce yanlıştır!
VDI teknolojisi incelendiği zaman son kullanıcılarımızın kullanmış oldukları aygıtlar sadece VDI bileşenlerinden bir tanesidir. VDI teknolojisi bir bütün olarak incelendiği zaman pahalı ve hatta toplam sahip olma maliyetlerinde artış gösteren bir teknoloji olduğu tespit edilecektir.
Peki, VDI tanımını yaptık isek eğer şimdi sıra geldi kullanıcı profillerinin önemine. Yukarıda da özetlediğimiz gibi kullanıcılar artık basit istemcilerden veya son günlerin modası olan BYOD dediğimiz (bring your own device) yani çalışanların kendi mobil aygıtları üzerinden şirket kaynaklarına erişmesi modelinde masa üstünüz hep sabit olmalıdır.
Bu ve bunun gibi pek çok nedenden dolayı VDI ortamlarında kullanıcı profil yönetimi büyük önem taşımaktadır.
VDI için bir adet golden imajdan sonra kullanıcı tarafından yapılan her şey ( masa üstü arka planı, uygulama ayarları, Windows ayarları, masa üstü, belgeler ve benzeri klasörlerdeki dosyalar) profili üzerinde kayıt edilir ve bizimde amacımız bu profili herhangi bir VDI ortamında (sanal masa üstü) logon olursa olsun aynı kullanıcı deneyimi yaşatmasını sağlamaktır. Eğer işletmenizin ihtiyaçları doğrultusunda kullanıcıların herhangi bir şekilde kişiselleştirmeye gitmesini istemiyorsanız, ya da yaptığı tüm değişiklikler log off sonrasında ilk haline dönmesini istiyorsanız buna mandatory profiles denir ki bu bizim şu anda üzerinde durduğumuz bir konu değildir. Ancak bunu da bir çözüm olduğunu ve kullanıldığını söylemek isterim.
Kullanıcı profil yönetimi denince pek çok ürün olduğunu ve bunlardan bazılarının özellikle VDI ortamları için geliştirildiğini görebiliyoruz.
Peki, masa üstünü sanallaştırmadan önce profilleri ne yapmalıyız? Buradaki en önemli fikir tabiki artık profilleri yerel disklerde tutmamak olacaktır. Bu sayede User State Virtualization (USV) dediğimiz kullanıcıların yönetilen tüm cihazları için aynı kullanıcı deneyimi yaşamasını sağlayabileceğiz. USV, kullanıcıların her zaman kişisel tecrübelerine yönetilen herhangi bir cihaz üzerinden erişmesi demektir. Temel anlamda kullanıcının herhangi bir bilgisayardaki dosyaları, ayarları gibi kendisine ait kişiselleştirilmiş bilgileri tüm makinelerden sunmaktır. Bu sayede kullanıcıların herhangi bir yerden herhangi bir zamanda çalışmasına yardımcı olarak üretkenliği arttırılabilir. Bu özelliğin Microsoft tarafından sağlanması için Folder Redirection, Roaming Profile, One Drive Pro, Offline Files gibi teknolojiler birlikte kullanılabilir. Ben ise makalemde mevcut bu teknolojilerden roaming ve folder rediretion’ dan bahsedeceğim.
Not: Ek olarak Windows Server 2012 ile RDS ortamları için sunulan User Profile Disk teknolojisi için aşağıdaki makaleyi inceleyebilirsiniz.
Öncelikle VDI ortamları ile yerleşik bilgisayar ortamlarındaki en büyük fark aslında mobil platform kullanımıdır. Yani şirket çalışanları ister şirket içerisinde masa üstü bilgisayarı, ister yine şirket içerisinde toplantıda kullandığı laptop, veya evindeki tablet yada cep telefonu ile aynı kullanıcı deneyimi yaşamak ister. Durum böyle olunca da bunu Active Directory Roaming Profile ile sağlayabilirsiniz. (VDI Floating Pool)
Roaming Profile için temel çalışma mantığı son derece basit olup AD üzerinde kullanıcı için profile path tanımlanır ve kullanıcı çalışma yaptıktan sonra log off olur, log off sırasında o makinedeki tüm dosyalar sunucu üzerine gönderilir. Daha sonra evine gittiğinde tablet bilgisayarı ile sanal masa üstüne bağlandığında logon olurken sunucu üzerinden tekrar bu profil bilgileri yüklenir ( Aslında bu yükleme tablet bilgisayara olmaz, tablet bilgisayar üzerine kullandığınız VDI alt yapısının bir istemcisini kuruyorsunuz ve bu istemci yazılımı ile sanallaştırma sunucularına bağlanıyorsunuz.
Bu senaryo içerisinde aklınıza bazı durumlar takılabilir, bunlardan ilki çalışanlarınızın log off olmaması. Evet bu kötü bir durum olup log off olmaması durumunda bu bilgiler sunucu üzerine yazılmayacağı için başka bir bilgisayardan profil’ e ulaştığı zaman en güncel profili yüklenmeyecektir. Hatta zaman damgası mantığı ile çalıştığı için evdeki pc de çalışır, sonra şirketteki makineyi log off olmadan kapatıp açar ise o makinedeki çalışmaları da log on olurken ezilir. Bu tür senaryolar için tabiki çözümlerimiz var. Bunlardan ilki roaming profile ile beraber folder redirection dediğimiz profil içerisindeki belgelerinizin, masa üstü çalışma alanınızın aslında size ayrılan bir file server üzerinden çalışması, bu sayede siz log off olmasanız bile yazdığınız tüm işler sunucu üzerinde olacaktır. Folder redirection yoğun bir network kullanımına neden olur, çünkü aslında kullandığınız masa üstü ve belgelerim gibi ( bunları seçebilirsiniz) yollar, direkt olarak file server üzerinden okuma ve yazma yapmaktadır. Bu bahsettiğim ikinci yöntem yani Roaming Profile ile Folder Redirection çözümlerinin beraber kullanılması aynı zamanda logon ve log off sürelerini de kısaltacaktır. Çünkü roaming profile için tüm kullanıcı profilinin yeni bir makineye yüklenmesi bazen ciddi bir zaman alabilir. Veya mevcut bir makinede hızlı bir şekilde logon oldu ancak 5GB lık bir veri çalışması yaptı ve log off olarak şirketten çıkmak istiyor, bu durumda bu 5GB’ ın sunucuya atılmasını beklemek zorundadır.
Peki, gelelim uygulama tarafına, aslında bu bölüm bir hayli uzun sürecek, yani Roaming Profile ile başlayıp Folder Redirection’ ın beraber kullanma senaryolarına kadar adım adım uygulamalı bir anlatım planladım, ancak her bir demo için ortam hazırlamak ve tek bir solukta yazmak benim iş yoğunluğumda uzun bir zaman alacağı için bölüm temeli yazıp sizler ile paylaşmak istiyorum.
İlk olarak Roaming Profile ile başlıyorum.
Romaing Profile için aşağıdaki gibi bir yol izlememiz gerekmektedir;
· Farklı profil sürümlerinin desteklenmesi
· Roaming User Profiles için bir security group oluşturmak
· Roaming user profiles için bir dosya paylaşımı hazırlamak
· Roaming User Profiles için isteğe bağlı olarak GPO oluşturmak
· Roaming User Profiles ayarlarının kullanıcılar için tanımlanması
· Roaming User Profiles için isteğe bağlı bilgisayar ayarları
· Roaming User Profiles için tanımlanan GPO’ nun devreye alınması
· Test İşlemleri
Farklı Profil Sürümlerinin Desteklenmesi
Kullanmış olduğunuz işletim sisteminin sürümüne göre kullanıcı profilleri farklılıklar göstermektedir. Yani ilk olarak bir Windows 7 de oturum açan bir roaming user daha sonra bir Windows 8 de oturum açar ise veya tam tersi bir Windows 8 de oturum açan roaming user sonrasında Windows 7 makineye logon olursa tek olarak tutulan bu profil dosyası her iki işletim sisteminin tüm ayarlarını doğru bir şekilde yapılandırmak için yeterli değildir. Bu nedenle aşağıdaki gibi profil versiyonları bulunmaktadır.
Windows 7 – Windows Server 2008 R2= v2
Windows 8 – Windows Server 2012 = V3
Windows 8.1 – Windows Server 2012 R2 = V4
Windows 10 = V5
Yukarıdaki örnekte aynı kullanıcı için iki adet farklı sürümü görebiliyoruz.
Ancak varsayılan olarak bu özellik açık olmadığı için aşağıdaki gibi iki işletim sistemi sürümü için hotfix yüklemeniz ve bir kayıt defteri ayarı değiştirmeniz gereklidir.
Windows 8.1 ve Server 2012 R2 için http://support.microsoft.com/kb/2887595
Windows 8 ve Server 2012 için http://support.microsoft.com/kb/2887239
Kayıt defteri girdisi aşağıdaki gibi olup değeri “1” olacaktır
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ProfSvc\Parameters\UseProfilePathExtensionVersion
Bunu GPO ile aşağıdaki gibi tüm makinelere uygulayabilirsiniz
Artık sürüm desteğine kavuştuğumuza göre ikinci adıma geçebiliriz.
Roaming User Profiles için bir security group oluşturmak
Bu adım son derece basit olup örneğin “Roaming User Profiles Users and Computers” ismin de bir Security – Global grup oluşturuyoruz.
Roaming user profiles için bir dosya paylaşımı hazırlamak
Bu adımda ise kullanıcı profil dosyaları için bir file server üzerinde paylaşım oluşturacağız. Bunun için öncelikle Server Manager ekranında “File and Storage Services” düğümüne geliyoruz ve Share kısmına tıklayarak paylaşımların gösterildiği ekranı açıyoruz.
Sağ üst köşedeki Task menüsü altından New Share diyerek yeni bir paylaşım oluşturmak için sihirbazı açıyoruz.
Karşımıza çıkan ekranda SMB Share Quick diyerek ilerliyoruz. Eğer siz içerik ve kota yönetimi gibi sunucu tarafında beklenmedik bir yoğunluk oluşumunu engellemek istiyorsanız SMB Share Advanced seçeneği ile ilerleyebilirsiniz.
Hangi sunucu ve volume üzerinde paylaşım açacak ise onu seçiyoruz ( Server manager üzerinden birden çok sunucuyu yönetme şansınız olduğu için birden çok sunucu üzerinde de paylaşım açabilirsiniz)
Paylaşım için anlamlı bir isim veriyoruz, sonuna $ işaretini koyarak isek herkesin görmesini istemediğimiz gizli bir paylaşım olmasını sağlıyoruz.
Bu bölümdeki seçenekler isteğinize bağlı olup ben yine bir kişinin bir paylaşım üzerinde yetkisi olmayan klasörleri listelememesi için “Enable access-based enumeration” kutucuğunu işaretliyorum.
Bir sonraki bölüm ise izinler. Bu bölüm son derece kritik bir öneme sahip olup gösterilen izinleri uygulamak güvenlik açısından en doğru konfigürasyonu yapmanızı sağlayacaktır.
İlk olarak karşımıza çıkan ekranda “Customize permissions” linkine tıklıyoruz.
Daha sonra açılan pencerede “Disable inheritance” ve ardından karşımıza çıkan uyarı ekranında
Kırmızı işaretli linke tıklıyoruz.
Daha sonra ise izinleri yukarıdaki tabloda gösterildiği gibi tanımlıyoruz.
İzinlerin son hali yukarıdaki gibidir.
Artık Roaming Profile için gerekli olan dosya paylaşımını tamamlamış bulunuyoruz.
Evet adımlarımıza makalemin bir sonraki bölümünde devam edeceğim. Umarım bu bölüme kadar faydalı bir makale olmuştur, bir sonraki bölümde görüşmek üzere.
Kaynaklar
http://searchvirtualdesktop.techtarget.com/tip/User-profile-management-tools-16-options-to-consider
http://searchvirtualdesktop.techtarget.com/feature/Tips-for-VDI-user-profile-management
https://technet.microsoft.com/en-us/library/jj649079.aspx#EnableProfileVersions
Makalemin VDI tanımı Fatih Karaalioğlu’ nun aşağıdaki makalesinden alıntıdır