Настройка профилей пользователей FSLogix

  • 5 мин

Чтобы обеспечить оптимальные возможности для пользователей виртуальных рабочих столов Azure, используйте профили FSLogix. Решение FSLogix предназначено для перемещения профилей в удаленных вычислительных средах, таких как виртуальный рабочий стол Azure. Профили пользователей хранятся в файлах VHD или VHDX для каждого пользователя. При входе в систему этот контейнер профиля динамически подключается к вычислительной среде. Профиль пользователя становится сразу доступным и отображается в системе в том же виде, как и изначальный профиль пользователя.

Что такое FSLogix?

FSLogix — это набор решений, которые отделяют локальный профиль пользователя от одного рабочего стола Windows и позволяют ему перемещаться между несколькими компьютерами Windows.

Профиль пользователя содержит элементы данных об отдельном пользователе, в том числе сведения о настройке, такие как параметры компьютера, постоянные сетевые подключения и параметры приложений. Профиль удаленного пользователя обеспечивает разделение данных пользователя и операционной системы. С помощью решений FSLogix вы можете:

  • Обеспечивать контекст пользователя в средах общих рабочих столов
  • Свести к минимуму количество входов для сред общих рабочих столов
  • Оптимизировать файловый ввод-вывод между узлом сеанса и удаленным хранилищем профилей

Создание профиля FSLogix для пользователей виртуальных рабочих столов Azure

Чтобы с помощью FSLogix отделить профили пользователей от узла сеансов виртуальных машин (ВМ), нужно настроить службу хранилища Azure и создать общий ресурс профиля FSLogix. Эти действия зависят от типа хранилища и от того, используете ли вы доменные службы Microsoft Entra или доменные службы Active Directory (AD DS). Ниже описано, как настроить файлы Azure с помощью доменных служб Microsoft Entra. Действия для AD DS одинаковы, за исключением раздела "Включение проверки подлинности Microsoft Entra". Различия указаны в этом разделе.

Создание учетной записи хранения

  1. Войдите на портал Azure.
  2. Найдите учетные записи хранения с помощью поля поиска на портале Azure.
  3. В панели команд "Учетные записи хранения" выберите "Создать". Появится страница Создание учетной записи хранения.
  4. В разделе Сведения проекта нажмите Подписка, а затем выберите или создайте группу ресурсов для размещения ресурсов хранилища.
  5. В разделе Сведения об экземпляре введите уникальное имя для своей учетной записи хранения.
  6. Выберите тот же Регион, что и пул узлов AVD.
  7. Для производительности выберите Премиум.
  8. Для типа премиум-аккаунта выберите "Общие файловые ресурсы".
  9. Оставьте для параметра Избыточность значение Локально избыточное хранилище (LRS).
  10. Выберите Проверка и создание для проверки входных данных, а затем нажмите Создать.
  11. Дождитесь завершения развертывания. Это может занять несколько минут.
  12. Выберите пункт Перейти к ресурсу. На странице Учетная запись хранения отображаются сведения об учетной записи хранения.

Включение проверки подлинности Microsoft Entra

Ниже описано, как включить проверку подлинности для общих папок Azure с помощью доменных служб Microsoft Entra. Если вы используете AD DS, вам необходимо зарегистрировать свою учетную запись хранения Azure в службе AD DS, а затем задать свойства домена в учетной записи хранения. Используйте модуль AzFilesHybrid Azure PowerShell на устройстве, которое является доменом, присоединенным к вашему локальному AD DS. Командлет AzStorageAccountForAuth выполняет эквивалент подключения автономного домена от имени учетной записи хранения Azure. Пошаговые инструкции по включению проверки подлинности в локальной службе AD DS см. в соответствующей статье в конце этого модуля.

Включение проверки подлинности для общих папок Azure с помощью доменных служб Microsoft Entra

  1. В меню учетной записи хранения прокрутите до раздела Хранилище данных и выберите Общие папки.
  2. В верхней части страницы выберите Active Directory, а затем Не настроено.
  3. В разделе Доменные службы Microsoft Entra выберите Настроить.
  4. Выберите Включить доменные службы Microsoft Entra для этого файлового ресурса.
  5. Нажмите кнопку Сохранить.
  6. Снова выберите Сохранить.

Назначение ролей для доступа к данным хранилища

Назначение роли администраторам контроллера домена Microsoft Entra

Необходимо назначить роли группе администраторов контроллера домена Microsoft Entra и пользователям Виртуального рабочего стола Azure.

  1. Предоставьте администраторам возможность изменять разрешения NTFS, назначив для общего файлового ресурса роль участника с повышенными правами.
  2. В созданной учетной записи хранения выберите Управление доступом (IAM).
  3. Нажмите кнопку Добавить>Добавить назначение ролей.
  4. В разделе Роль выберите Участник с повышенными правами общей папки данных SMB хранилища и нажмите Далее.
  5. В колонке Участники задайте для параметра Назначить доступ значение Пользователь, группа или субъект-служба..
  6. Щелкните Выбрать участников.
  7. Щелкните Администраторы AAD DC и нажмите "Выбрать".
  8. Щелкните Проверить и назначить.
  9. Щелкните Проверить и назначить снова.

Назначение ролей пользователям виртуального рабочего стола Azure

  1. Назначьте пользователям роль участника, чтобы у них было разрешение на чтение и запись данных в общем файловом ресурсе SMB, где хранятся виртуальные диски профиля пользователя.
  2. В созданной учетной записи хранения выберите Управление доступом (IAM).
  3. Выберите Добавить > добавить назначение ролей.
  4. В разделе Роль выберите Участник общей папки данных SMB хранилища и нажмите Далее.
  5. В колонке Участники задайте для параметра Назначить доступ значение Пользователь, группа или субъект-служба..
  6. Щелкните Выбрать участников.
  7. Щелкните Администраторы AAD DC и нажмите "Выбрать".
  8. Щелкните Проверить и назначить.
  9. Щелкните Проверить и назначить снова.

Включение FSLogix

Добавьте раздел реестра для каждой виртуальной машины, зарегистрированной в пуле узлов. Вам потребуется ключ доступа к учетной записи хранения и путь к общей папке.

  1. Из меню "Пуск" запустите RegEdit от имени администратора.

  2. Перейдите в Computer_LOCAL_MACHINE.

  3. Создайте для ВМ раздел под названием Профили.

  4. Создайте раздел реестра для хранения ранее созданного пути SMB. В разделе Профили добавьте следующие элементы типа данных:

    Тип Имя Данные/Значение
    DWORD Включено 1
    Многострочный параметр VHDLocations Расположение общей папки в файлах Azure, в формате SMB-пути

  5. Создайте раздел реестра, чтобы включить FSLogix. В разделе Профили добавьте следующие элементы типа данных:

    Тип Имя Данные/Значение
    DWORD Включено 1

Настройка разрешений NTFS

Получение ключа доступа к учетной записи хранения

Для настройки разрешений NTFS вам потребуется ключ доступа к учетной записи хранения и путь к общей папке.

  1. В своей учетной записи хранения в разделе Безопасность и Сеть выберите элемент Ключи доступа.

  2. Выберите Отобразить ключи.

  3. Скопируйте значение одного из полей ключей, чтобы использовать его в дальнейшем.

Введите путь к общему файловому ресурсу.

  1. В своей учетной записи хранения, в левой области навигации, прокрутите вниз до раздела Хранилище данных и выберите Общие папки.
  2. Выберите созданный вами общий файловый ресурс.
  3. В разделе Настройка щелкните Параметры.
  4. Скопируйте URL-адрес.
  5. Преобразуйте URL-адрес из HTTP-пути в SMB-путь, чтобы использовать его в дальнейшем. Например, https://myfslogixstorage.file.core.windows.net/profiles преобразуется в \\myfslogixstorage.file.core.windows.net\profiles.

Вход в узел сеанса

  1. Откройте командную команду с повышенными возможностями на одном из узлов сеанса.

  2. Выполните следующие команды, в которых замените значения заполнителей путем к общей папке SMB, ключом доступа к учетной записи хранения и именем участника-пользователя Microsoft Entra пользователя (UPN). Имя участника-пользователя будет выглядеть примерно так: kaicarter@contoso.onmicrosoft.com.

    net use Z: [SMB path used in VHDLocations in the registry] /u:Azure\[storage account name] [storage access key]
Icacls Z: /grant [user UPN]:(f)