Unternehmen erweitern die klassische Rechner-Infrastruktur durch Desktop-Virtualisierungslösungen, um ihre IT-Ressourcen zu optimieren, Administrationskosten einzusparen und notwendige Aktualisierungsprozesse zu beschleunigen. Dabei müssen IT-Entscheider aufpassen, dass sie nicht unüberlegt handeln und alte durch neue Probleme ersetzen. Denn Kostensenkungen beim Administrationsaufwand und die Durchführung von Produktaktualisierungen sind nicht die zwangsläufige Folge von VDI-Projekten, sondern müssen im Rahmen einer effizienten Gesamtstrategie sichergestellt werden. Worauf sollten Unternehmen achten, damit Desktop-Virtualisierungsprojekte tatsächlich erfolgreich verlaufen?
1. Windows-Desktops standardisieren
Einheitliche Architekturen reduzieren den Arbeitsaufwand für Konfigurationsänderungen und Wartungsaufgaben – dieser Grundsatz gilt auch innerhalb von virtualisierten Umgebungen. Beim Wechsel auf eine virtuelle Infrastruktur standardisieren Unternehmen die Rechnerumgebung und nutzen vorhandene Serverkapazitäten besser aus. Die Standardisierung von Windows-Desktops ist indes nur ein erster Schritt in die richtige Richtung und zahlt sich für Unternehmen nicht zwangsläufig in barer Münze aus.
Damit Unternehmen das Potenzial einer standardisierten Desktop-Umgebung optimal aus-nutzen können, müssen sie weitere Maßnahmen ergreifen, um den wechselnden Anforderungen der Mitarbeiter gerecht zu werden. Im Geschäftsalltag schlagen sich individuelle Anfragen von Kollegen und die Einspielung neuer Software-Updates in Überstunden auf Administratorseite wieder. Auch nachdem in VDI-Umgebungen der komplette Desktop-PC im Rechenzentrum virtualisiert wurde, fallen also vielfältige und mitunter zeitaufwändige Administ-rationsaufgaben an.
2. Das passende Image wählen
Ganz am Anfang ihrer Virtualisierungsprojekte stehen Unternehmen vor einer Grundsatzentscheidung: „Persistent Images“ oder „Non-Persistent Images“? Je nach gewählter Option ändert sich das Koordinatensystem von VDI-Umgebungen grundlegend. Wenn es sich um persistente Image-Dateien handelt, bleiben im Rahmen der Session durchgeführte Änderungen nach deren Beenden bestehen. Das VDI-Speicherabbild verhält sich also wie eine normale Festplatte, was wiederum Konsequenzen für den Patch-Management-Prozess hat. Denn installierte Patches und individuelle Änderungen an der Oberfläche führen dazu, dass virtuelle Maschinen ein Eigenleben abseits der Kontrolle des Administrators entwickeln können.
Im Gegensatz dazu werden bei nichtpersistenten Image-Dateien sämtliche Änderungen nach Sitzungsende wieder rückgängig gemacht. Technisch wurden sie nie auf das Speicherabbild geschrieben, sondern lediglich in einer Art Cache-Datei vorgehalten. Neben den persönlichen Änderungen der Oberfläche gehen dann auch alle eingespielten Patches und Sicherheits-Updates verloren. Beim Sitzungsende rückgängig gemachte Aktualisierungen stellen deshalb ein erhebliches Sicherheitsrisiko dar, wenn Antivirenprogramme und häufig benötigte Programme wie Adobe Reader nicht auf dem neuesten Stand sind. Folge: Das IT-Team muss jede Produktaktualisierung schnellstmöglich durchtesten und das zentrale Master-Image sorgsam auf dem neuesten Stand halten.
3. Aktualisierungsprozesse automatisieren
Zur Senkung der Administrationskosten sollten Unternehmen bei Updates, Patches und Be-nutzerkonfigurationen auf automatisierte Prozesse setzen. Insbesondere die Aufrechterhaltung personalisierter Arbeitsplätze der Endanwender ist eine Herkulesaufgabe, wenn durch die Umstellung auf zentrale Server-Strukturen alle Individualwünsche beim Administratorteam landen. Die Liste personalisierter Einstellungen reicht von Browser-Einstellungen, Desktop-Anordnungen, Applikations- und Druckerkonfigurationen bis zu persönlichen Daten, Umgebungsvariablen und individuellen E-Mail-Präferenzen, die für ein produktives Arbeiten notwendig sind. IT-Verantwortliche müssen diese individuellen Einstellungen zur Verfügung stellen, oder sie werden von einer Flut an Helpdesk-Anrufen und steigenden Kosten ausgebremst.
Administratoren benötigen dafür Systeme, die nach Sitzungsbeginn alle Veränderungen der Anwender protokollieren, eingespielte Aktualisierungen festhalten und beim Neustart automatisch ausführen. Desktop-Virtualisierungsanbieter binden in der Regel ausschließlich Windows-Benutzerprofile ein, aber Login-Skripte und Gruppenregeln sind mindestens genauso wichtig. Notwendig ist eine Bereitstellungstechnologie, die sowohl Desktops als auch Applikationen abdeckt. Unabhängig davon, ob User sich über ein lokal installiertes Betriebssystem oder per Thin Client einwählen, bleibt das Benutzererlebnis dann identisch.
4. Produktivität virtualisierter Desktops erhöhen
Unternehmen stehen im Zuge der Desktop-Virtualisierung vor einem Zielkonflikt: Einerseits senken zentral administrierte Rechner die Wartungskosten. Andererseits benötigen Mitarbeiter zur Erfüllung ihrer Aufgaben häufig lokal zu installierende Dienste und Software. Da fordert ein Außendienstmitarbeiter vom Administratorteam schon einmal Sofortzugriff auf bestimmte Online-Dienste und die Pressesprecherin fragt freitags um 16 Uhr nach einer schnellen Ausdruckmöglichkeit für ein bestimmtes Plakat-Layout aus einer CAD-Applikation heraus. Verfügen sie über die erforderlichen Administratorrechte, besteht das Risiko, dass sich eigenständig durchgeführte Konfigurationen und Programmneuinstallationen negativ auf Stabi-lität und Zuverlässigkeit des Rechners auswirken. Aber selbst wenn der Installationsprozess ohne Komplikationen verläuft, stellt sich die Frage, ob überhaupt die erforderlichen Lizenzen zum Betrieb der Software vorliegen.
Aus Unternehmenssicht muss also einerseits sichergestellt sein, dass sich nur freigegebene Softwareprogramme installieren lassen. Eine zu strenge Auslegung der Rechtevergabe führt aber andererseits dazu, dass die Administrationskosten steigen. Können Anwender wichtige Applikationen nicht selber installieren, generieren sie zeitaufwändige Helpdesk-Anfragen. Am besten erstellt die IT daher für Endanwender unterschiedliche Benutzerklassen mit entsprechenden Benutzerrechten und Support-Einstufungen. Aktuelle Lösungen setzen auf die Einrichtung eines IT-Service-Kataloges, aus dem Endanwender die für sie erforderlichen Dienste wählen können. Nach Freigabe durch den verantwortlichen Administrator müssen Mitarbeiter dann nur die benötigten Dienste anfragen und diese werden automatisch bereitgestellt.
5. IT-Sicherheit in virtualisierten Umgebungen durchsetzen
Neben der ohnehin vorhanden Unternehmens-Firewall als Gateway zum Internet ist es mittlerweile ein Sicherheitsstandard, auch auf den Einzelrechnern separate Personal Firewalls einzusetzen. Dabei ist es jedoch wenig sinnvoll, die Filterregeln von den eigenen Mitarbeitern einstellen zu lassen, da das erforderliche Fachwissen nicht vorausgesetzt werden kann. (Virtuelle) Firewall-Regeln müssen zentral festgelegt werden, aber auf individueller Ebene jus-tierbar sein, um Kommunikationsverbindungen von Einzelrechnern aus zu erlauben. Oder umgekehrt: Denn im Falle eines gehackten Rechners muss der Administrator in der Lage sein, die Kommunikation des betroffenen Systems zu unterbinden, um einen Angriff im Netz-werk zu isolieren.
Und es kommt noch ein weiterer Aspekt hinzu. Befinden sich Mitarbeiter innerhalb oder au-ßerhalb des Unternehmensnetzes, sind jeweils andere Sicherheitsrichtlinien erforderlich. Je nach Standort sollten Personal Firewalls unterschiedlich offen mit der IT-Umgebung kommunizieren. Zu strenge Firewall-Regeln stören möglicherweise die Kommunikation mit Backend-Diensten im Firmennetz. Außerhalb der gesicherten Unternehmensnetze stellen unveränder-te Filtereinstellungen dann aber ein Sicherheitsrisiko dar. Im Arbeitsalltag ist also eine zentral gesteuerte Personal Firewall erforderlich, die auf Anwenderebene situationsgesteuert mit unterschiedlichen Sicherheitsprofilen arbeitet.
Fazit: Operation gelungen, Patient tot?
Die jährlichen Betriebskosten für einen PC betragen rund 4.500 Euro und für einen Laptop-Rechner circa 7.000 Euro, ermittelte das Marktforschungsunternehmen Gartner in der Studie „Desktop Total Cost of Ownership“. Im Schnitt entfallen demnach 35 Prozent des gesamten IT-Budgets auf die Verwaltung von Windows-Desktoprechnern und Notebooks. Virtualisierte Landschaften lösen diesen Kostenfaktor nicht zwangsläufig auf, wie die genannten Beispiele zeigen. Eine Möglichkeit wäre es, alle Rechner im Firmeneinsatz abzuriegeln und Änderungen lokaler Anwender komplett zu verbieten, um dadurch Einsparpotenziale zu nutzen.
Problematisch an dieser Vorgehensweise ist allerdings, dass Endanwender im Unternehmen dann auch über keine Flexibilität mehr verfügen, um sinnvolle Anpassungen „auf dem kurzen Dienstweg“ vorzunehmen. Die Produktivität der Mitarbeiter leidet unter der eingeschränkten Funktionalität, wenn der „Machtkampf“ zwischen Anwendern und IT-Administratoren einseitig ausgeht. Ohne entsprechende Administratorrechte sind viele Funktionen deaktiviert, wichtige Addons ausgeschaltet, notwendige Aktualisierungen nicht abrufbar und die Kommunikation mit anderen Applikationen stark eingeschränkt.
Mit der richtigen Strategie bei Virtualisierungsprojekten ist es möglich, die erwünschten Kos-teneinsparungen beim Desktop-Management und -Support zu erzielen. Ein solches Gesamtkonzept beruht darauf, individuelle Zugriffsmöglichkeiten auf Applikationen und Drucker bereitzustellen, ohne Rechner oder Betriebssystem ändern zu müssen. Es kommt darauf an, dynamische Desktops im Unternehmen einzusetzen, die sowohl in klassischen als auch virtuellen Umgebungen eine einheitliche Benutzerführung gewährleisten. Anwender verfügen dabei über die gleiche Arbeitsoberfläche, wenn sie auf lokale Dienste zugreifen oder im Rahmen einer virtuellen Sitzung arbeiten. Auf diese Weise lassen sich die Belange des IT-Managements und die flexiblen Anforderungen der Anwender in Einklang bringen. (wh)