Microsoft桌面虚拟化技术介绍(四)MED-V 客户端

4.1 身份验证与策略实施

MED-V 客户端要求身份验证,这是为了确保只有经过授权的用户才能访问 MED-V 虚拟镜像。这样的验证是根据管理服务器执行的,在 Active Directory 中查询用户和组信息。

MED-V 利用 Active Directory 安全策略。如果一个帐户在用户目录中被禁用或被锁定(例如,如果用户 3 次键入错误的密码),该用户就不允许启动工作区。此外,如果密码即将过期,用户将在身份验证完成之前看到更改密码的提示。

身份验证和授权流程完成之后,MED-V 客户端就会查询 MED-V 管理服务器,获取最新策略和设置。这种操作可确保端点使用的是最新的工作区,并允许管理员控制和监控活动的用户,后文将详细说明。

用于验证 MED-V 客户端的域凭据也可用于登录到虚拟机内的 Windows,使用户无需重复键入域凭据(假设域凭据是相同的)。但用户仍需为 MED-V 客户端进行验证,即便端点主机已使用相同的凭据登录也是如此。用户可选择保存凭据,以便在下一次希望启动工作区时自动为 MED-V 客户端提供凭据。

在虚拟机运行时,在预定义的空闲时间之后或当设备进入休眠或睡眠模式时,虚拟机将进入"锁定"模式。只有经过验证的用户在输入正确的密码后才能解锁虚拟机并继续工作。

MED-V v1 仅支持基于 Active Directory 域凭据的身份验证(用户名和密码)。未来的版本中还将包括双重身份验证(例如,智能卡证书)。

4.2 虚拟机操作

MED-V 利用行业标准虚拟引擎 Microsoft Virtual PC 在端点本地运行虚拟机。MED-V 客户端控制虚拟机管理的所有方面,包括检索或更新虚拟镜像;为特定用户或设备自定义虚拟机;初始化、挂起或终止虚拟机会话;监控虚拟引擎工作是否正常("监视程序")。最终用户仍然不会注意到虚拟机在后台运行。

MED-V 客户端可配置为在每次工作会话结束时或用户注销主机工作站时获取虚拟机的一份快照(类似于便携计算机的睡眠模式)。这可缩短重新初始化虚拟机的全部功能所需的时间。

虚拟机像上文所述这样挂起时,如果另外一名经过授权的用户希望使用虚拟机,它将重新启动(经过用户确认)。现有会话将丢失,这与物理设备上的 Windows 行为完全相同。

4.3 虚拟镜像加密

为了保护虚拟镜像免于未经授权的使用(即被未通过身份验证的用户使用,或不符合管理员定义的使用策略),虚拟镜像在载入镜像存储库时将加密。加密密钥在服务器上针对每一个镜像生成,并安全地传输给通过身份验证的客户端。虚拟镜像以加密的形式保留在端点上,当虚拟机运行时,块将"动态"解密/加密。

4.4 脱机模式

如果用户经过授权,则可脱机使用虚拟机,策略文件和加密密钥将在其初次通过联机身份验证后缓存在本地。在使用 USB 驱动器上的便携包时,缓存内容是存储在 USB 驱动器上的,而非本地驱动器。

其他一些机制也会在用户的身份验证尝试失败达到一定次数时阻止用户。此外,当用户帐户在 Active Directory 中被禁用、被锁定、过期或帐户密码更改时,MED-V 会删除脱机缓存的凭据。

脱机权限可限制为在预定义的期间内有效,过期后用户必须重新连接。这确保了用户能够持续拥有最新权限,并为顾问或第三方实施可选的过期或取消提供设置(参见"租期与过期")。

4.5 远程访问与非托管端点

使用 MED-V 时(特别是在非企业设备上或在企业网络以外),必须牢记,虚拟机上的来宾 OS 依赖于主机 OS 的安全性。主机 OS 上的恶意软件很可能会影响来宾 OS。因而,在非托管系统上执行企业虚拟机之前,建议对主机 OS 进行扫描。

在连接到企业网络之前,管理员应采用在非托管系统上执行的 VPN 客户端常用的安全性指导原则和修正策略。

为了实现主机 OS 扫描,MED-V 客户端支持执行外部脚本或可执行文件的能力,仅在命令成功通过后才允许来宾 OS 运行。

就远程访问客户端而言(例如 VPN 客户端),可将其安装在虚拟机内部,仅允许来自虚拟机内部的企业网络连接,也可安装在端点本身之上。

4.6 公开的应用程序和菜单 一致的桌面用户体验

管理员可在虚拟机中"发布"应用程序,并使最终用户可通过主机的"开始"菜单使用这些应用程序。虚拟机"开始"菜单的全部子菜单均可发布。这些应用程序将直接通过"开始"菜单或桌面快捷方式启动(1);并与本地应用程序出现在同一位置,但可以选择使用不同颜色的框架作为区分(2)。然而,虚拟机本身并不出现,这简化了用户体验,避免了用户工作流的改变。

推荐大多数用户使用"单一桌面"模式,这种做法能够简化培训和工作流程。但若较高级的用户希望明确区分 UI,管理员也可将虚拟机设置为在"全桌面"模式下工作。在这种模式下,用户可在物理桌面和虚拟机桌面之间来回切换。

4.7 Web 浏览器重定向

对于 web 应用程序,管理员可定义一组 Web 站点(依据域名后缀或 IP 前缀的允许/拒绝列表),使这组站点在虚拟机中运行的浏览器内启动。企业 Web 站点或不兼容的 Web 应用程序可在虚拟机内启动,而其他所有站点在主机浏览器中显示。MED-V 客户端可自动管理浏览器重定向,为最终用户提供无缝的浏览体验。

4.8 打印

在 MED-V 策略允许的情况下,用户可从工作区应用程序(位于来宾 OS 中)打印到任何本地安装的打印机,而无需在虚拟机内安装任何驱动程序。

4.9 文件传输

用户可根据管理员定义的权限,选择在虚拟机和端点之间传输文件。文件传输基于集中定义的筛选器,允许指定文件类型的入站/出站传输,并且可在传输目标处进行防病毒扫描。

4.10 复制/粘贴控制

工作区与本地应用程序之间的复制/粘贴操作需服从管理策略。此类操作可在双向或单向上允许或拒绝。但虚拟机内部以及端点主机应用程序之间的所有复制/粘贴操作都是允许的。

时间: 2024-10-10 12:27:57

Microsoft桌面虚拟化技术介绍(四)MED-V 客户端的相关文章

Microsoft桌面虚拟化技术介绍(一)MED-V简介

Microsoft Enterprise Desktop Virtualization:MED-V Microsoft Enterprise Desktop Virtualization(MED-V)增强了 Virtual PC 镜像在 Windows 桌面上的部署和管理,还提供了 Virtual PC 环境的无缝用户体验,独立于本地桌面配置和操作系统(OS). MED-V 利用 Microsoft Virtual PC 提供桌面虚拟化企业解决方案.利用 MED-V,您可在任何 Windows

Microsoft桌面虚拟化技术介绍(二)高级体系结构

基于收购的 Kidaro 技术开发出来的 MED-V 解决方案包括: 管理员定义的虚拟机(1),封装企业桌面环境:在标准桌面上常用的 OS.企业应用程序和可选的管理工具. 镜像存储库(2),在标准 Web 服务器上存储所有虚拟镜像,支持虚拟镜像版本管理.客户端认证的镜像检索,并通过 TrimTransfer 技术提供高效下载和更新. 管理服务器(3),根据 Microsoft Active Directory 用户和组将镜像存储库中的虚拟镜像关联到通过身份验证的用户,并分配使用策略和数据传输控制

Microsoft桌面虚拟化技术介绍(六)虚拟镜像管理

6.1 工作区类型 MED-V 支持两种管理和更新虚拟镜像的方法: 域管理的虚拟机 ─ MED-V 允许管理员按照管理标准企业设备的方式管理虚拟机:使用现有工具(组策略.电子软件分发等)修补.管理和更新.在初次设置期间,虚拟机将成为企业域的一部分. 自我清理("可还原")的虚拟机 ─ MED-V 提供了一种独特的方法,可交付管理良好.易于支持的桌面环境.它利用虚拟化的硬件独立性,为多名用户维护相同的镜像.用户对应用程序或 OS 做出的所有更改都将在 Virtual PC 会话结束时被放

Microsoft桌面虚拟化技术介绍(三)虚拟镜像生命周期

MED-V 虚拟镜像的典型生命周期如下所述: 在 Microsoft Virtual PC 内创建虚拟镜像,通过 MED-V 管理控制台进行测试,并将其载入 MED-V 镜像存储库. 定义 MED-V 工作区. 工作区就是一个虚拟镜像,与一组使用策略相关联,并提供给特定用户: → 创建通过最终用户的"开始"菜单使用的应用程序列表. → 定义应在虚拟机浏览器内查看的 Web 站点. → 将工作区提供给 Active Directory 用户和组. → 为各用户和组设置使用策略(例如,过期

Microsoft桌面虚拟化技术介绍(五)MED-V 客户端部署

5.1 客户端部署和镜像交付方法 MED-V 可通过多种方法部署: 软件分发系统 ─ MED-V 客户端安装基于标准 Windows MSI.因此,在内部部署 MED-V 时,管理员可使用现有的任何软件分发系统.MED-V MSI 包中不包括任何需要独立部署到所有端点的 Virtual PC 软件,也不包括虚拟镜像,虚拟镜像需在安装后根据用户的相应策略从镜像存储库下载. DVD 或 USB 驱动器提供的"一次单击"式安装包 ─ 管理员可为最终用户提供包括 MED-V 客户端.Micro

Microsoft桌面虚拟化技术介绍(七)MED-V 镜像管理

MED-V 镜像存储库包含所有可用的虚拟机镜像.MED-V 管理控制台提供了一种轻松简便的方法,可创建.管理.更新镜像或从 MED-V 镜像存储库中删除镜像. 在管理员提供新虚拟机或更新现有虚拟机时,MED-V 管理服务器会检测到镜像存储库中的更改,在 MED-V 客户端下一次查询策略时发出通知,指导它们从相应的镜像存储库中检索最新的虚拟机. 交付是使用 MED-V TrimTransfer 技术通过网络实现的.另外,虚拟机也可通过 DVD 或 USB 磁盘交付. 镜像存储库使用 IIS Web

Microsoft桌面虚拟化技术介绍(八)MED-V 管理服务器

MED-V 管理服务器存储和管理所有 MED-V 配置,包括用户策略.它可安装在 MS Windows 2008 Server 之上.通过 MED-V 管理控制台可控制所有服务器功能,而这个管理控制台是一个独立客户端应用程序. 所有 MED-V 客户端在初始化.身份验证和检索最近更新策略时都要连接到 MED-V 管理服务器.所有会话(由 MED-V 客户端或管理控制台发起)均通过 HTTP 或 HTTPS(具体取决于服务器配置)传输. 8.1 工作区策略 使用 MED-V 管理控制台,管理员可创

Microsoft桌面虚拟化技术介绍(九)MED-V 企业体系结构

9.1 DMZ 结构 对于企业网络外部的最终用户来说,可在 DMZ 中部署标准网关,允许其远程访问管理服务器和镜像存储库. 由于与管理服务器和镜像服务器的通信基于 HTTP/HTTPs,因而该网关可用作用户身份验证的端点(基本或集成模式).MED-V 客户端在每一个请求的 HTTP 报头中提供用户名和密码. 9.2 可伸缩性和多位置 典型的 MED-V 管理服务器根据所使用的具体硬件情况,可支持数以千计的用户.客户端-服务器通信是轻量级的:客户端往往配置为每隔 15 分钟轮询服务器中的策略,每

Linux的桌面虚拟化技术KVM(四)——虚拟机镜像格式对比与转换

Linux的桌面虚拟化技术KVM(二)——远程桌面管理 Linux的桌面虚拟化技术KVM(三)——KVM虚拟机克隆和快照 (1).常用镜像格式对比 目前常用虚拟机镜像格式:raw.cow.qcow.qcow2.vmdk. 1)raw raw格式:老牌的镜像格式,用一个字来说就是裸,也就是赤裸裸,你随便dd一个file就模拟了一个raw格式的镜像.由于裸的彻底,性能上来说的话还是不错的.centos6上KVM和XEN默认的格式还是这个格式.centos7以上默认是qcow2 . 裸的好处还有就是简