欢迎来到公海710 Ivanti 环境管理器和自动化

如果您熟悉 Ivanti 的环境管理器策略产品，那么您可能熟悉其最佳用途 - 在本地端点上充当本地会话中的用户或系统。

它擅长在计算机范围内有条件地修改和配置用户的当前会话。然而，它从来不擅长的是表演行政，外部代表用户的端点和会话。

现在公平地说，该产品本身并不是设计来执行此操作的，虽然可以通过一些巧妙的 powershell 脚本来完成，但这样做总是不明智的。

Ivanti 收购了 RES 自动化平台，这是一款同类最佳的跨平台基础设施和桌面自动化套件，旨在简化复杂且重复的基础设施任务。

直到最近，Environment Manager 策略和 RES 自动化还是不同的领域。然而，随着 User Workspace Manager 2019.1 的发布，自动化集成已以可配置操作的形式融入到 EM 策略中。

这意味着，我们现在可以通过 EM 政策中的几乎任何触发器，根据任何条件，从 RES 调度程序调用自动化流程，向其传递自定义的即时定义参数，并让外部管理参与者代表我们的用户完成复杂的任务。

基础设施设置和先决条件

为了实现这一目标，我们需要先进行一些设置：

• 用于部署 EM 策略的实用 UWM 管理中心基础设施
• 端点上的环境管理器代理
• 带有调度程序的功能性 RES 自动化基础设施
• 端点上的 RES 自动化代理
• 域控制器上的 RES 自动化代理

除了上述基本安装之外，每个安装都需要进行一些配置修改才能工作。

PKI 先决条件：

要在 EM 政策中使用自动化，我们需要配置一个“运行身份”用户。为此，策略与其部署到的端点之间需要存在证书信任。

执行此操作的最简单方法是在编辑 EM 政策的 UWM 管理服务器上生成自签名证书。有关创建自签名证书的过程的详细信息超出了本指南的范围，但可以在线找到。

生成此证书后，需要将其纳入 EM 政策的运行身份用户库部分：

还需要导入到本地计算机的个人证书存储在您希望部署此政策的所有端点上。

可以通过多种不同的方式部署证书，请以适合您的组织的方式进行部署。下面我们手动采用一种：

管理帐户

需要指定管理服务帐户才能与 RES Automation Dispatcher 进行连接和通信。为了简单起见，下面我在此环境中使用了作为域管理员的用户帐户，但是使用专用服务帐户当然会更好。

首先将此帐户添加到 EM 政策中的运行身份用户库中：

然后赋予此帐号在RES环境中的登录和控制权限：

调度程序 WebAPI

端点上的 EMagent 将通过其 Web API 联系 RES 自动化调度程序，该功能默认情况下未启用。

要启用它，请在目标调度程序上配置以下全局设置：

自动化模块

完成所有基础架构设置后，我们现在可以开始进行自动化模块和 EM 策略配置。

我们将首先配置一个简单的自动化模块，该模块将通过 EM 策略操作进行调用。从 UWM 2019.1 开始，自动化模块和项目都可以从 EM 策略和传递给它们的参数中调用。

对于一个非常简单的示例，该模块将运行一个任务，根据我们在运行时传递的一些参数的内容，在用户桌面上创建自定义文件夹。

使用以下参数和任务创建新的 RES 自动化模块：

正如我们所见，模块中创建了多个参数。参数实际上只是保存数据的变量。

然后在该模块的任务中通过 $[Parameter] 格式调用这些参数。我们将定义实际值稍后在 EM 政策中的参数。

EM 政策

现在在 EM 策略中，我们需要将该策略链接到 Automation Dispatcher。这是通过功能区中的“自动化设置”项目完成的。指定要使用的服务器、端口和服务帐户（所有这些都是我们之前配置的）：

点击“测试连接”应该会显示目标调度程序中定义的模块和项目的列表。

现在，您可以在任意位置创建一个新节点。下面我们在 Pre-Desktop 中这样做了，但为了测试，将其作为 Process-Start 操作来执行可能更容易。在此节点中，创建一个新的自动化操作并选择适当的模块（在本例中为我们的自动化示例模块）

选中“覆盖参数”框并指定我们要传递的值返回到自动化服务器。请注意，我们可以从传递环境或会话变量当前用户的自动化参数会话。 EM 将评估这些值本地定义变量并将结果作为参数值传递给自动化：

就是这样！保存此策略并将其部署到测试端点。登录时（或您使用的任何触发器），将在桌面上创建一个文件夹！我们还可以通过查看调度程序上的作业历史记录来验证自动化调用是否成功：

在这里，我们可以看到该任务由其代理在我们的测试端点 (W10WS02) 上本地运行，并且文件操作任务日志显示了文件夹创建情况：

变得棘手

现在，您自然会说“但是我们可以更快地在 EM 中创建文件夹！”，您是对的！这是一个简单的示例，因此让我们来完成一个更复杂的示例，涉及代表用户更改用户的 Active Directory 对象。

编辑现有的自动化模块，并添加两个任务：“管理 Active Directory 用户”和“消息框”。

在此示例中，我们将通过向用户的描述属性添加字符串以及将其添加到特定安全组来修改当前用户的 AD 对象。按如下方式配置“设置”选项卡，并根据需要替换您的环境：

现在，在“用户属性”标签中，选择“描述”用户字段并指定其值。这里我们使用一个将由 EM 传递的参数：

接下来，前往“成员”选项卡并指定目标用户将添加到的群组：

最后，设置“显示消息框”任务，如下所示：

现在这是最重要的部分 - 因为环境管理器策略引用自动化中的模块，所以无需重新部署或更改现有的 EM 策略！

EM 政策中自动化操作的每次新调用都将自动使用我们的自动化模块的最新更新版本。继续触发它 – 将在桌面上创建一个文件夹，然后修改 AD 用户，最后用户将看到一个消息框。

审核结果

如果我们查看自动化中的作业历史记录并双击模块日志，我们可以看到 EM 传递给自动化的参数值，以及模块中的每个任务是成功还是失败：

最后，我们可以在 AD 中仔细检查以查看具有新描述和群组成员身份的修改后的用户：

显然，这只是触及了用户启动的基础设施操作的皮毛，但我们希望它能启发您以不同的方式思考如何在您的环境中启动流程。

关于作者：亚当·克罗塞特是 Alchemy 的高级顾问，近 10 年来一直致力于为企业提供用户虚拟化解决方案。