Diagnoseauswahl für Windows-Instant-Clone-Desktops

Zweck der Funktion für die diagnostische selektive Sperre ist die Bereitstellung präziser und nicht geänderter Daten für rechtliche, sicherheitsrelevante und betriebliche Anforderungen. Der aktuell unterstützte Anwendungsfall ermöglicht die regelmäßige Live-Erfassung von Daten in Verbindung mit dem Desktop eines Benutzers, wenn ein Benutzer aus rechtlichen oder betrieblichen Gründen oder aufgrund der Reaktion auf Vorfälle selektiv gesperrt wird. Durch eine diagnostische selektive Sperre eines Benutzers werden die Desktops des Benutzers vorübergehend persistent. Dadurch wird verhindert, dass der Desktop aktualisiert oder gelöscht wird („Re-Imaging“), und der Administrator erhält die Möglichkeit, zur Untersuchung auf den Desktop des Benutzers zuzugreifen. Dies hat minimale Auswirkungen auf die Benutzererfahrung.

Diese Funktion wird für dynamische und dedizierte Windows-Instant-Clone-Desktop-Pools unterstützt.

Funktionsweise der Funktion für die diagnostische selektive Sperre

Rollenbasierte Zugriffssteuerung
Die Diagnosefunktion wird durch das globale Recht DIAGNOSE gesteuert. Der Superadministrator kann dieses Recht einem anderen Administrator zuweisen, der als Diagnoseadministrator bezeichnet wird, aber dieses Recht ist für den Superadministrator standardmäßig nicht aktiviert. Weitere Informationen finden Sie unter „Globale Berechtigungen“ im Dokument Horizon 8-Verwaltung.
Archivierungsdatenspeicher
Der Archivierungsdatenspeicher ist ein gemountetes NFS oder VMFS, das global in LDAP festgelegt ist. Horizon 8 liest diese Einstellung aus LDAP, um zu bestimmen, wo archivierte Daten abgelegt werden sollen. Standardmäßig verwendet die Einstellung denselben Datenspeicher, in dem sich der Pool befindet.
Workflow für selektive Sperre
- Sperren von Benutzern
  Eine Sperre kann nur auf der Ebene eines einzelnen AD-Benutzers angewendet werden. Wenn der forensische Administrator einen Benutzer mithilfe der API sperrt, tritt Folgendes ein:
  - Wenn der Benutzer bereits eine VM verwendet, gilt die Sperre für die VM, bei der er aktuell angemeldet ist, und für alle anderen VMs, die dem Benutzer zugewiesen sind.
  - Wenn sich dieser Benutzer bei einer VM anmeldet, ändert Horizon 8 den Status der Instant-Clone-VM von statusfrei in statusbehaftet, behält aber die statusbehaftete VM im ursprünglichen Pool bei.
  - Der gesperrte Benutzer meldet sich weiterhin bei derselben VM an, um alle vorherigen am Desktop vorgenommenen Änderungen anzusehen. Horizon 8 ändert den Inhalt der VM in keiner Weise.
  - Eine Statusanzeige in der Verwaltungskonsole zeigt an, dass sich die VM im Sperrzustand befindet.
  - Die VM ist als Forensisch gekennzeichnet und in vCenter geschützt, damit vCenter-Administratoren die VM nicht versehentlich ändern oder löschen können.
- Während des Sperrzeitraums
  Nachdem ein Benutzer gesperrt wurde, kann das Diagnoseteam zur Untersuchung auf den statusbehafteten Desktop zugreifen und die Live-Daten im laufenden Betrieb erfassen. Für diese Datenerfassung hat der Diagnoseadministrator die folgenden Optionen.
  - Verwenden der Archive-API. Die Archive-API kann über mehrere VMs und mehrere Benutzer hinweg eingesetzt werden. Eine einzelne VM kann nur archiviert werden, wenn der Benutzer nicht angemeldet ist. Wenn der Benutzer angemeldet ist, muss der Archivierungsbefehl verzögert werden, bis sich der Benutzer abmeldet.
    Der Archivierungsvorgang ist wie folgt:
    
    Die VM wird heruntergefahren.
    
    Alle Festplatten werden konsolidiert.
    
    Alle Snapshots werden konsolidiert.
    
    Die VMDK-Datei wird in den ausgewählten Archivierungsspeicherort kopiert.
    
    Die VM wird erneut mit dem Ziel-Image synchronisiert.
  - Verwenden eigener Skripts oder Tools von Drittanbietern. In diesem Fall können Sie auswählen, ob nur der Hypervisor-Arbeitsspeicher, nur die VMDKs der VMs oder sowohl der Hypervisor-Arbeitsspeicher als auch die VMDKs archiviert werden sollen.
    Die isHeldUser-Umgebungsvariable gibt an, ob der Benutzer, der eine Verbindung zur Sitzung herstellt, ein gehaltener Benutzer ist. Basierend auf dem Wert dieser Variable können Sie Datenerfassungsskripts auslösen, wenn sich ein gehaltener Benutzer bei einem Desktop anmeldet. Ein Skript kann ausgelöst werden, wenn der Skripthostdienst auf der Verbindungsserver-VM ausgeführt wird. Weitere Informationen finden Sie unter „Aktivieren des VMware Horizon View-Skripthostdiensts“ im Dokument Remote-Desktop-Funktionen und GPOs in Horizon.
  Zu beachten während des Sperrzeitraums:
  - Eine gesperrte VM kann nicht aktualisiert, wiederhergestellt, entfernt oder in den Wartungsmodus versetzt werden. Dies gilt nur für die gehaltene VM und nicht für andere VMs im selben Pool.
  - Ein Pool mit gehaltenen VMs kann nicht gelöscht werden.
  - Wenn die Funktion zum automatischen Verkleinern des Pools festgelegt ist, priorisiert Horizon 8 die gesperrte VM, damit sie nicht verloren geht.
  - Wenn für den Instant Clone-Pool eine Poolaktualisierung oder ein Patch-Update durchgeführt werden muss, gibt es zwei mögliche Optionen:
    - Wenn ein Pool mit gesperrten VMs aktualisiert werden muss und der Archivierungsdatenspeicher nicht festgelegt ist, ignoriert die Image-Übertragung die statusbehafteten VMs. Dadurch werden die gesperrten VMs für die Diagnose beibehalten. Der Benutzer wird weiterhin zu der persistenten VM geleitet, wenn er sich anmeldet. Diese VMs müssen dann mit separaten Tools wie persistenten VMs gepatcht werden.
    - Wenn ein Pool mit gesperrten VMs aktualisiert werden muss und der Archivierungsdatenspeicher festgelegt ist, führt Horizon 8 zunächst eine Image-Übertragung auf alle anderen VMs im Pool durch und archiviert dann die gesperrten VMs. Nachdem die gesperrten VMs archiviert wurden, führt Horizon 8 eine normale Image-Übertragung für sie durch. Wenn sich der gesperrte Benutzer das nächste Mal wieder anmeldet, erhält er eine unberührte VM, die in eine statusbehaftete VM umgewandelt wird, und der Vorgang wird wiederholt. Beachten Sie, dass bei jedem Patch-Vorgang zusätzlicher Speicher erforderlich ist, um die statusbehaftete VM zu kopieren und zu archivieren.
- Entfernen der Benutzersperre
  Wenn der Diagnoseadministrator mithilfe der API eine Sperre für einen Benutzer entfernt, tritt Folgendes ein.
  - Horizon 8 wandelt die VM wieder in eine statusfreie VM um.
  - Das Tag Forensisch, das beim Sperren der VM angewendet wurde, wird entfernt und die VM kann aus dem vCenter gelöscht werden.
  - Bei der nächsten Benutzerabmeldung wird die VM gelöscht und aus dem Golden Image neu erstellt und somit in einen unberührten Zustand zurückversetzt.
Forensische Vorgänge in der Ereignisdatenbank
Alle Vorgänge, einschließlich der Gewährung des Rechts DIAGNOSE und der Sperre/Freigabe von Benutzern, werden in der Ereignisdatenbank erfasst. Dies kann verwendet werden, um Skripts zu benachrichtigen, die ausgeführt werden müssen.

Verwenden von APIs zur Durchführung von Funktionen für die diagnostische selektive Sperre

Sie können Horizon-APIs verwenden, um die diagnostische selektive Sperre wie unten beschrieben durchzuführen. Für jede API gibt es einen Link zu ihrer Dokumentation auf der VMware {code}-Website.

Erstellen der Rolle „Forensischer Administrator“ und Zuweisen eines Benutzers
1. Erstellen Sie die benutzerdefinierte Rolle „Forensischer Administrator“ mithilfe der folgenden API:
```
/config/v1/roles
```
  Die Dokumentation für diese API finden Sie hier.
2. Weisen Sie die benutzerdefinierte Rolle „Forensischer Administrator“ zu, indem Sie die Anweisungen unter „Erstellen eines Administrators in Horizon Console“ im Handbuch Horizon 8-Verwaltung befolgen.
Festlegen eines Datenspeichers für die Archivierung
Verwenden Sie die folgende API, um einen Datenspeicher für die Archivierung von virtuellen Festplatten und Arbeitsspeicher festzulegen:
```
/config/v1/virtual-centers/{id}/action/mark-datastores-for-archival
```
Die Dokumentation für diese API finden Sie hier.
Sperren von Benutzern
Um einen Benutzer zu sperren, verwenden Sie die folgende API:
```
/external/v1/ad-users-or-groups/action/hold
```
Die API gibt die Desktop-ID, die Pool-ID und den Maschinenstatus für alle Desktops zurück, die dem gehaltenen Benutzer zugewiesen sind. Sie können diese Warnungsinformationen verwenden, um eine Skriptdatenerfassung auszulösen. Die Dokumentation für diese API finden Sie hier.
In vCenter wird das Tag ForensicHold auf alle VMs angewendet, die von gesperrten Benutzern verwendet werden.
Archivieren der virtuellen Festplatte und des Arbeitsspeichers einer VM
Verwenden Sie zum Archivieren der virtuellen Festplatte und des Arbeitsspeichers einer VM die folgende API:
```
/inventory/v1/machines/action/archive
```
Die Dokumentation für diese API finden Sie hier.
- Die Archivierung erfolgt, wenn sich der Benutzer bei der gehaltenen VM abmeldet.
- Wenn VMs archiviert wurden, werden sie im Archivdatenspeicher (wie oben in der API angegeben) in vCenter innerhalb des Ordners Archive angezeigt.
- Wenn eine VM über mehrere Festplatten verfügt, wird nur die primäre Festplatte archiviert. Die Archivierung mehrerer Festplatten wird in der vorliegenden Version nicht unterstützt.
Entfernen der Sperre für einen Benutzer
Zum Entfernen der Sperre für einen Benutzer verwenden Sie die folgende API:
```
/external/v1/ad-users-or-groups/action/release-hold
```
Die API gibt die Desktop-ID, die Pool-ID und den Maschinenstatus für alle Desktops zurück, die dem gehaltenen Benutzer zugewiesen sind. Sie können diese Warnungsinformationen verwenden, um eine Skriptdatenerfassung auszulösen. Die Dokumentation für diese API finden Sie hier.
Auflisten gehaltener Benutzer
Verwenden Sie die folgende API, um gesperrte Benutzer auflisten zu können:
```
/external/v1/ad-users-or-groups/held-users-or-groups
```
Die Dokumentation für diese API finden Sie hier.
Auflisten gehaltener Maschinen
Verwenden Sie die folgende API, um eine Liste der derzeit gesperrten Maschinen zu erstellen:
```
/inventory/v3/machines
```
Die Dokumentation für diese API finden Sie hier.

Hinweis: Diese API gibt alle Maschinen zurück. In der Antwort weisen gesperrte VMs den Wert "held_machine": true auf.