En este documento se explica cómo configurar ciertos aspectos del cliente de Citrix, esto afectaría a clientes con la versión superior a la 10.x. Lo que habría que hacer es descargarse una plantilla (icaclient.adm – HIER), y agregarla a la directiva que nos interese, editar las configuraciones que deseemos por equipo o por usuario y aplicarla.

Importar la plantilla – HIER
Descripción de la plantilla y sus directivas – HIER

Importar la plantilla ,

En este documento se explica usando la consola de “Verwaltung von Gruppenrichtlinien”, esta consola no tienes por que tenerla instalada, daría igual, se accede de forma similar desde la UO en la consola de “Active Directory-Benutzer und -Computer”.

Sobald die Konsole geöffnet ist, es ir a la Unidad Organizativa y editar la directiva que nos interese o bien crearnos una para probarla, ese es mi caso, sobre la UO que nos interese con botón derecho “Erstellen und verknüpfen Sie hier ein Gruppenrichtlinienobjekt…”

Wir geben Ihnen einen aussagekräftigen Namen, “Annehmen”

Y la editamos, hierfür, sobre la directiva con botón derecho “Redigieren…”,

Ahora vamos a meter la plantilla de Citrix, Briefumschlag “Einrichtung der Ausrüstung” > Klicken Sie mit der rechten Maustaste auf “Administrative Vorlagen” > “Hinzufügen oder Entfernen von Vorlagen…”

Veremos las que tenemos, y metemos la nueva con “Hinzufügen…”

Buscamos la plantilla (icaclient.adm – HIER) que nos hemos bajado, la seleccionamos y la abrimos,

Vemos que está ahí, perfekt, cerramos esta ventana,

Descripción de la plantilla y sus directivas,

Ahora ya tenemos diferentes directivas desde “Einrichtung der Ausrüstung” > “Administrative Vorlagen” > “Citrix Components”. In “Presentation Server Client” tenemos una directiva llamada:

“Clientverbindungen zulassen”
Verwenden Sie diese Richtlinie, um Verbindungen vom Citrix Presentation Server-Client zu aktivieren oder vollständig zu deaktivieren.
Wenn diese Richtlinie nicht konfiguriert ist, wird der Client Verbindungen zu Servern zulassen.
Wenn diese Richtlinie aktiviert ist, verbindet sich der Client nur mit einem Server, wenn die “Client aktivieren” Option ausgewählt ist, und wenn seine Versionsnummer größer oder gleich der “Mindest-Clientversion”.
Wenn die Richtlinie deaktiviert ist, wird der Client keine Verbindungen zu irgendeinem Server zulassen.

In “Citrix Components” > “Presentation Server Client” > “Netzwerkrouting” wir haben mehrere Richtlinien:

“TLS/SSL-Datenverschlüsselung und Serveridentifikation”
Verwenden Sie diese Richtlinie, um die TLS/SSL-Optionen zu konfigurieren, die dazu beitragen, dass der Client sich mit echten Remoteanwendungen und -desktops verbindet. TLS und SSL verschlüsseln die übertragenen Daten, um zu verhindern, dass Dritte den Datenverkehr einsehen oder ändern. Citrix recommends that any connections over untrusted networks use TLS/SSL or another encryption solution with at least the same level of protection.
Wenn diese Richtlinie aktiviert ist, the client will apply these settings to all TLS/SSL connections performed by the client. The checkbox “Require SSL for all connections” can be used to force the client to use the TLS or SSL protocol for all connections that it performs.
TLS and SSL identify remote servers by the common name on the security certificate sent by the server during connection negotiation. Usually the common name is the DNS name of the server, for example www.citrix.com. It is possible to restrict the common names to which the client will connect by specifying a comma-separated list in the “Allowed SSL servers” Einstellung. Note that a wildcard address, for example “*.citrix.com:443”, will match all common names that end with “.citrix.com”. The information contained in a certificate is guaranteed to be correct by the certificate’s issuer.
Some security policies have requirements related to the exact choice of cryptography used for a connection. By default the client will automatically select either TLS v1.0 or SSL v3.0 (with preference for TLS v1.0) depending on what the server supports. This can be restricted to only TLS v1.0 or SSL v3.0 using the “SSL/TLS version” Einstellung.
Ähnlich, certain security policies have requirements relating to the cryptographic ciphersuites used for a connection. By default the client will automatically negotiate a suitable ciphersuite from the five listed below. If necessary, it is possible to restrict to just the ciphersuites in one of the two lists.
Government Ciphersuites:
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Commercial Ciphersuites:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
Liste der Zertifikatssperren (ZERTIFIKATSPERRLISTE) checking is an advanced feature supported by some certificate issuers. It allows security certificates to be revoked (invalidated before their expiry date) in the case of cryptographic compromise of the certificate private key, or simply an unexpected change in DNS name.
Valid CRLs must be downloaded periodically from the certificate issuer and stored locally. This can be controlled through the selection made in “CRL verification”
– Arbeitsunfähig: When “Arbeitsunfähig” is selected, no CRL checking will be performed.
– Only check locally stored CRLs: When “Only check locally stored CRLs” is selected, any CRLs that have been previously installed or downloaded will be used in certificate validation. If a certificate is found to be revoked, the connection will fail.
– Retrieve CRLs from network: When “Retrieve CRLs from network” is selected, the client will attempt to retrieve CRLs from the relevant certificate issuers. If a certificate is found to be revoked, the connection will fail.
– Require CRLs for connection: When “Require CRLs for connection” is selected, the client will attempt to retrieve CRLs from the relevant certificate issuers. If a certificate is found to be revoked, the connection will fail. If the client is unable to retrieve a valid CRL, the connection will fail.

“Configure trusted server configuration”
Use this policy to control how the client identifies the published application or desktop it is connecting to. The client will determine a trust level, called a “trust region” with a connection. The trust region will then determine how the client is configured for the connection.
Wenn diese Richtlinie aktiviert ist, the client can be forced to perform region identification using the “Enforce trusted server configuration” option.
Standardmäßig, region identification is based on the address of the server the client is connecting to. To be a member of the trusted region, the server must be a member of the Windows Trusted Sites zone. You can configure this using the “Windows Internet zone” Einstellung.
Alternatively, for compatibility with non-Windows clients, the server address can be specifically trusted using the “Adresse” Einstellung. This is a comma-separated list of servers supporting the use of wildcards, for example, cps*.citrix.com.

“Session reliability and automatic reconnection”
Use this policy to control how the client behaves when a network failure causes the connection to be dropped.
Wenn diese Richtlinie aktiviert ist, the client will attempt to reconnect to a server only if “Enable reconnection” is selected. By default three reconnection attempts are made, but this can be altered using the “Number of retries” Einstellung. Similarly the delay between retries can be altered from the default of 30 seconds using the “Retry delay” Einstellung.
A separate setting, “Enable SSL/TLS reconnection”, is provided to allow reconnection to an SSL/TLS server. Support for this setting depends on the SSL server configuration.

In “Citrix Components” > “Presentation Server Client” > “Netzwerkrouting” > “Stellvertreter” wir haben mehrere Richtlinien:

“Configure client proxy settings”
Use this policy to configure the primary network proxies that the client can use when connecting to a remote application or desktop.
Wenn diese Richtlinie nicht konfiguriert ist, the client will use its own settings to decide whether to connect through a proxy server.
Wenn diese Richtlinie aktiviert ist, the client will use the proxy configured based on the proxy type selected:
– Proxy type: None: When “None” is selected, the client will attempt to connect to the server directly without traversing a proxy server.
– Proxy type: Auto: When “Auto” is selected, the client will use the local machine settings to determine which proxy server to use for a connection. This is usually the settings used by the Web browser installed on the machine.
– Proxy type: Skript: When “Skript” is selected, the client will retrieve a JavaScript based “.pac” file from the URL specified in the “Proxy script URLs” policy option. The “.pac” file is executed to identify which proxy server should be used for the connection.
– Proxy type: Secure: When “Secure” is selected, the client will contact the proxy identified by the “Proxy host names” und “Proxy ports” Einstellungen. The negotiation protocol will use a “HTTP CONNECT” header request specifying the desired destination address. This proxy protocol is commonly used for HTTP based traffic, and supports GSSAPI proxy authentication.
– Proxy-Typ: SOCKS/SOCKS V4/SOCKS V5: When a “SOCKEN” proxy is selected, the client will perform a SOCKS V4 or SOCKS V5 handshake to the proxy identified by the “Proxy hostnames” und “Proxy ports” Einstellungen. The “SOCKEN” option will detect and use the correct version of Socks.
For any proxy type, you can provide a list of servers that do not traverse the proxy. These should be placed in the “Bypass server list”.

“Configure client failover proxy settings”
Use this policy to configure alternative network proxies that the client can use if the primary network proxy fails to connect to a remote application or desktop.
Wenn diese Richtlinie nicht konfiguriert ist, the client will use its own settings to decide whether to connect through a proxy server.
Wenn diese Richtlinie aktiviert ist, the client will attempt a connection using an alternative proxy if connection to a primary proxy fails. The failover proxy settings operate in an identical fashion to the primary proxy settings.
If both the primary and alternative proxy fail to service the connection, selecting the “Failover to direct” check box instructs the client to attempt a final direct connection with no proxies.

“Configure SOCKS proxy settings”
Use this policy to configure the use of additional SOCKS proxies that are required for some advanced network topologies.
When enabled, the client will examine the “SOCKS protocol version” Einstellung. If connection via SOCKS is not disabled, the client will attempt to connect using the SOCKS proxy specified by the “Proxy host names” und “Proxy ports” Einstellungen.
The client supports connections using either SOCKS v4 or SOCKS v5 proxy servers. Alternatively, it can attempt to automatically detect the version being used by the proxy server.

“Configure proxy authentication”
Use this policy to control the authentication mechanisms that the client uses when connecting to a proxy server. Authenticating proxy servers can be used to monitor data traffic in large network deployments.
In general, authentication is handled by the operating system but in some scenarios, the user may be provided with a specific user name and password. To prevent the user from being specifically prompted for these credentials, clear the “Prompt user for credentials” check box. This will force the client to attempt an anonymous connection. Alternatively, you can configure the client to connect using credentials passed to it by the Web Interface server, or these can be explicitly specified via Group Policy using the “Explicit user name” und “Explicit password” Optionen.

In “Citrix Components” > “Presentation Server Client” > “User authentication ” wir haben mehrere Richtlinien:

“Smart card authentication”
Use this policy to control how the client uses smart cards attached to the client device.
When enabled, this policy allows the remote server to access smart cards attached to the client device for authentication and other purposes.
Wenn deaktiviert, the server cannot access smart cards attached to the client device.

“Kerberos authentication”
Use this policy to control how the client uses Kerberos to authenticate the user to the remote application or desktop.
When enabled, this policy allows the client to authenticate the user using the Kerberos protocol. Kerberos is a Domain Controller authorised authentication transaction that avoids the need to transmit the real user credential data to the server.
Wenn deaktiviert, the client will not attempt Kerberos authentication.

“Local user name and password”
Use this policy to instruct the client to use the same logon credentials (pass-through authentication) for the Citrix Presentation Server as the client machine.
Wenn diese Richtlinie aktiviert ist, the client can be prevented from using the current user’s logon credentials to authenticate to the remote server by clearing the “Enable pass-through authentication” check box.
When run in a Novell Directory Server environment, selecting the “Use Novell Directory Server credentials” check box requests that the client uses the user’s NDS credentials.

“Locally stored credentials”
Use this policy to control how user credentials data stored on users’ machines or placed in ICA files is used to authenticate the user to the remote published application or desktop.
Wenn diese Richtlinie aktiviert ist, you can prevent locally stored passwords being automatically sent to remote servers by clearing the “Allow authentication using locally stored credentials” check box. This causes any password fields to be replaced with dummy data.
In addition, the “User name” und “Domäne” options can be used to restrict or override which users can be automatically authenticate to servers. These can be specified as comma-separated lists.

“Web Interface authentication ticket”
Use this policy to control the ticketing infrastructure used when authenticating through the Web Interface.
Wenn diese Richtlinie aktiviert ist, legacy Web Interface ticketing can be disabled by clearing the “Legacy ticket handling” check box. Legacy Web Interface ticketing was implemented by passing a single-use authentication cookie to the server in the ClearText password field.
Starting with version 4.5 of the Web Interface, the client handles an authentication token in the form of an opaque LogonTicket with an associated interpretation defined by the LogonTicketType. This functionality can be disabled by clearing the “Weboberfläche 4.5 and above” check box.

In “Citrix Components” > “Presentation Server Client” > “Remoting client devices” wir haben mehrere Richtlinien:

“Client drive mapping”
Use this policy to enable and restrict the remote application or desktop’s access to the client file systems.
When enabled, the client will completely deny client drive mapping (CDM) virtual channel access to the client’s file system if the check box “Enable client drive mapping” is not selected. This stops the DLL implementing the client drive mapping virtual channel (vdcdmn.dll) from loading on client start up. At this point, you can delete the DLL from the client package.
If CDM is enabled, further options are available to restrict the type of access available to the server. If the “Read-only client drives” check box is selected, the CDM virtual channel only permits read access to client drives.
Access to Windows drives can be disabled by entering the relevant drive letter in the “Do not map drives” box. This is a concatenation of all drives that should not be mapped when connecting to a published application or desktop, for example “ABFK” disables the drives A, B, F and K.

“Client printers”
Use this policy to enable and restrict the remote application or desktop’s access to client printers.
When this policy is disabled, the client prevents the server from accessing or printing to printers available to the client device.

“Client hardware access”
Use this policy to enable and restrict the remote application or desktop’s access to the client’s serial, USB, and parallel ports. This allows the server to use locally attached hardware.

“Image capture”
Use this policy to enable and restrict the remote application or desktop’s access to scanners, webcams, and other imaging devices on the client device.

“Client microphone”
Use this policy to enable and restrict the remote application or desktop’s access to local audio capture devices (microphones).
The additional controls and indicators provided by the Philips SpeechMike device can be disabled by clearing the “Use remote SpeechMike controls” check box.

“Clipboard”
Use this policy to enable and restrict the remote application or desktop’s access to the client clipboard contents.

In “Citrix Components” > “Presentation Server Client” > “Remoting client devices” wir haben mehrere Richtlinien:

“Client audio settings”
Use this policy to control how sound effects and music produced by remote applications or desktops are directed to the client machine.
Wenn diese Richtlinie aktiviert ist, the “Enable audio” check box can be used to completely disable client audio mapping. This does not affect the client to server audio data, which is controlled through the “Remoting client devices” policy.
It is also possible to control the audio quality. Three quality levels are supported: low, medium and high. This setting affects both server to client and client to server audio quality. Note that the bandwidth requirements for high quality audio could make this setting unsuitable for many deployments.

“Client graphics settings”
Verwenden Sie diese Richtlinie, um die Qualität der von Remote-Anwendungen oder Desktops dargestellten Grafiken zu steuern. Grafiken mit niedrigerer Qualität können dazu beitragen, die Benutzererfahrung zu verbessern, wenn nur begrenzte Bandbreite verfügbar ist.
– Farbentiefe: Dies legt die bevorzugte Farbentiefe für eine Sitzung fest. In general, Niedrige Farbtiefen bieten bei geringer Bandbreite eine bessere Leistung; Einige der verfügbaren Kompressionstechnologien können jedoch nur mit voller Farbe verwendet werden, Daher hängt die effektive Leistung von der jeweiligen Anwendung und dem Nutzungsmuster ab. Der Server kann beschließen, die gewählte Farbtiefeinstellung nicht zu berücksichtigen, da höhere Farbtiefen zu einer hohen Speichernutzung auf den Servern führen.
– Festplattenbasierte Zwischenspeicherung: Für Client-Geräte mit begrenztem RAM, Bessere Komprimierungsraten können erreicht werden, indem temporäre Grafikobjekte im Festplatten-Cache gespeichert werden.
– Verlustbehaftete Kompression: Für maximale Kompression und Reaktionsfähigkeit, erlaubt der Server manchmal, dass die übertragenen Bilddaten in der Qualität nachlassen. Dies tritt normalerweise auf, wenn die Verbindung langsam ist, oder die Bandbreite begrenzt ist und großflächige Aktualisierungen stattfinden. Dies ist nicht für alle Anwendungen und Nutzungsszenarien geeignet. Das Löschen dieser Einstellung erzwingt die Übertragung aller Bilddaten in voller Qualität.
– SpeedScreen-Browserbeschleunigung: Diese Funktion ermöglicht es, dass von Microsoft Internet Explorer angezeigte Bilder speziell über den SpeedBrowse-Browserbeschleunigungs-Virtualkanal verarbeitet werden. Dies verbessert die Reaktionsfähigkeit bei der Nutzung von Microsoft Internet Explorer aus der Ferne.
– SpeedScreen-Browserbeschleunigung verlustbehaftete Kompression: Dies ist eine Erweiterung der SpeedScreen-Browserbeschleunigungseinstellung, Erlauben, dass von Microsoft Internet Explorer angezeigte Bilder vor der Übertragung an den Client reduziert werden. Dies ist nicht für alle Anwendungen und Nutzungsszenarien geeignet. Wenn diese Option deaktiviert wird, werden alle Bilddaten des Webbrowsers in voller Qualität übertragen.
– Fernvideo: Die Option Fernvideo ermöglicht es dem Server, bestimmte Videodaten direkt an den Client zu streamen. Dies bietet eine bessere Leistung, als Videodaten auf dem Computer, auf dem Citrix Presentation Server ausgeführt wird, zu dekomprimieren und erneut zu komprimieren.
– SpeedScreen-Latenzreduzierung: Durch Aktivieren der SpeedScreen-Latenzreduzierungseinstellungen kann der Client vorhersagen, wie Mausbewegungen und Texteingaben auf dem Server angezeigt werden. Dies führt dazu, dass der Benutzer sofort Feedback erhält, wenn er tippt oder den Mauszeiger bewegt.

“Client-Anzeigeeinstellungen”
Verwenden Sie diese Richtlinie, um zu steuern, wie der Client entfernte Anwendungen und Desktops dem Endbenutzer präsentiert. Remote-Anwendungen können nahtlos in lokale Anwendungen integriert werden, oder die gesamte lokale Umgebung kann durch einen Remote-Desktop ersetzt werden.
– Nahtlose Fenster: Wenn auf falsch gesetzt, erlaubt diese Einstellung dem Client, die Verwendung nahtloser Fenster zu deaktivieren, anstatt ein Fenster mit fester Größe anzuzeigen. Wenn auf wahr gesetzt, zwingt dies den Client, nahtlose Fenster anzufordern, obwohl der Server diese Anforderung ablehnen kann.
– Fensterbreite und -höhe: Diese Einstellungen bestimmen Fensterbreite und -höhe. Es ist möglich, Bereiche bevorzugter Werte festzulegen (for example 800-). Der Server kann diesen Wert ignorieren. Diese Einstellung wird ignoriert, wenn nahtlose Fenster verwendet werden.
– Fensterprozentsatz: Dies kann als Alternative zur manuellen Auswahl von Breite und Höhe verwendet werden. Es wählt eine Fenstergröße als festen Prozentsatz des gesamten Bildschirms. Der Server kann diesen Wert ignorieren. Diese Einstellung wird ignoriert, wenn nahtlose Fenster verwendet werden.
– Vollbild: Diese Einstellung schaltet den Client in den Vollbildmodus. Die Serveranzeige wird die Clientanzeige vollständig abdecken.

“Remote-Anwendungen”
Verwenden Sie diese Richtlinie, um die Handhabung von Remote-Anwendungen durch den Client zu konfigurieren.
When enabled, Diese Richtlinie verwendet die Liste im “Anwendung” Feld, um zu bestimmen, welche veröffentlichten Anwendungen direkt vom Client gestartet werden können.
Sie können verlangen, dass Remote-Anwendungen Sitzungen teilen (in einer einzigen ICA-Verbindung ausgeführt werden). Dies bietet eine bessere Benutzererfahrung, ist aber manchmal nicht wünschenswert. Die Funktion zur Sitzungsfreigabe kann deaktiviert werden, indem das “Sitzungsfreigabe” check box.

Si queremos también podemos editar estas directivas a nivel de usuario y no hacerlo a nivel de equipo, estaría en “Benutzereinstellungen” > “Administrative Vorlagen” > “Citrix Components” > “Presentation Server Client”.

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0