In questo documento viene spiegato come configurare alcuni aspetti del client Citrix, Ciò influirebbe sui clienti con la versione successiva alla 10.x. Quello che dovresti fare è scaricare un modello (icaclient.adm – QUI), e aggiungerlo alla policy che ci interessa, Modificare le configurazioni che vogliamo per team o per utente e applicarle.

Importare il modello – QUI
Descrizione del modello e delle sue direttive – QUI

Importare il modello ,

In questo documento viene spiegato usando la console di “Gestione Criteri di gruppo”, questa console non è necessario averla installata, non fa differenza, si accede in modo simile dall'OU nella console di “Utenti e computer di Active Directory”.

Una volta aperta la console, si tratta di andare all'Unità Organizzativa e modificare la direttiva che ci interessa o crearne una per provarla, questo è il mio caso, sull'OU che ci interessa con il tasto destro “Creare e collegare un oggetto Criteri di gruppo qui…”

Ti diamo un nome descrittivo, “Accettare”

E la modifichiamo, per questo, sulla direttiva con il tasto destro “Redigere…”,

Ora andiamo ad inserire il modello di Citrix, busta “Configurazione dell'attrezzatura” > Fare clic con il tasto destro su “Modelli amministrativi” > “Aggiungere o rimuovere modelli…”

Vedremo quelli che abbiamo, e inseriamo il nuovo con “Aggiungere…”

Cerchiamo il modello (icaclient.adm – QUI) che abbiamo scaricato, lo selezioniamo e lo apriamo,

Vediamo che è lì, Perfetto, chiudiamo questa finestra,

Descrizione del modello e delle sue direttive,

Ora abbiamo diverse direttive da “Configurazione dell'attrezzatura” > “Modelli amministrativi” > “Componenti Citrix”. In “Presentation Server Client” abbiamo una direttiva chiamata:

“Allow client connections”
Usa questa policy per abilitare o disabilitare completamente le connessioni dal client Citrix Presentation Server.
Quando questa policy non è configurata, il client consentirà la connessione ai server.
Quando questa policy è abilitata, il client si connetterà a un server solo se l'opzione “Abilita client” è selezionata, e se il suo numero di versione è maggiore o uguale alla “Versione minima del client”.
Quando la policy è disabilitata, il client non consentirà connessioni a nessun server.

In “Componenti Citrix” > “Presentation Server Client” > “Instradamento di rete” abbiamo diverse direttive:

“Crittografia dei dati TLS/SSL e identificazione del server”
Usa questa policy per configurare le opzioni TLS/SSL che aiutano a garantire che il client si connetta ad applicazioni e desktop remoti genuini. TLS e SSL crittografano i dati trasferiti per impedire che terzi visualizzino o modifichino il traffico dati. Citrix raccomanda che tutte le connessioni su reti non fidate utilizzino TLS/SSL o un'altra soluzione di crittografia con almeno lo stesso livello di protezione.
Quando questa policy è abilitata, il client applicherà queste impostazioni a tutte le connessioni TLS/SSL eseguite dal client. La casella di controllo “Richiedi SSL per tutte le connessioni” può essere utilizzata per forzare il client a usare il protocollo TLS o SSL per tutte le connessioni che esegue.
TLS e SSL identificano i server remoti tramite il nome comune sul certificato di sicurezza inviato dal server durante la negoziazione della connessione. Di solito il nome comune è il nome DNS del server, per esempio www.citrix.com. È possibile limitare i nomi comuni a cui il client si connetterà specificando un elenco separato da virgole in “Server SSL consentiti” impostazione. Nota che un indirizzo jolly, per esempio “*.citrix.com:443”, corrisponderà a tutti i nomi comuni che terminano con “.citrix.com”. Le informazioni contenute in un certificato sono garantite come corrette dall'emittente del certificato.
Alcune politiche di sicurezza hanno requisiti relativi alla scelta esatta della crittografia utilizzata per una connessione. Per impostazione predefinita, il client selezionerà automaticamente TLS v1.0 o SSL v3.0 (con preferenza per TLS v1.0) a seconda di ciò che il server supporta. Questo può essere limitato solo a TLS v1.0 o SSL v3.0 utilizzando il “Versione SSL/TLS” impostazione.
Similmente, alcune politiche di sicurezza hanno requisiti relativi alle suite crittografiche utilizzate per una connessione. Per impostazione predefinita, il client negozierà automaticamente una suite crittografica adeguata tra le cinque elencate di seguito. Se necessario, è possibile limitarsi solo alle suite crittografiche in una delle due liste.
Suite crittografiche governative:
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Suite di cifratura commerciali:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
Certificate Revocation List (CRL) Il controllo è una funzione avanzata supportata da alcuni emittenti di certificati. Permette che i certificati di sicurezza vengano revocati (invalidati prima della loro data di scadenza) in caso di compromissione crittografica della chiave privata del certificato, o semplicemente per un cambiamento imprevisto del nome DNS.
Le CRL valide devono essere scaricate periodicamente dall'emittente del certificato e memorizzate localmente. Questo può essere controllato tramite la selezione effettuata in “Verifica CRL”
– Disabile: Quando “Disabile” è selezionato, non verrà effettuato alcun controllo CRL.
– Controlla solo le CRL memorizzate localmente: Quando “Controlla solo le CRL memorizzate localmente” è selezionato, qualsiasi CRL precedentemente installata o scaricata verrà utilizzata nella convalida del certificato. Se un certificato risulta revocato, la connessione fallirà.
– Recupera CRL dalla rete: Quando “Recupera CRL dalla rete” è selezionato, il client tenterà di recuperare le CRL dagli emittenti di certificati pertinenti. Se un certificato risulta revocato, la connessione fallirà.
– Richiedi CRL per la connessione: Quando “Richiedi CRL per la connessione” è selezionato, il client tenterà di recuperare le CRL dagli emittenti di certificati pertinenti. Se un certificato risulta revocato, la connessione fallirà. Se il client non è in grado di recuperare una CRL valida, la connessione fallirà.

“Configura la configurazione del server attendibile”
Usa questa policy per controllare come il client identifica l'applicazione o il desktop pubblicato al quale si sta connettendo. Il client determinerà un livello di fiducia, chiamato una “regione di fiducia” con una connessione. La regione di fiducia determinerà quindi come il client è configurato per la connessione.
Quando questa policy è abilitata, il client può essere costretto a eseguire l'identificazione della regione utilizzando l' “Forza configurazione del server attendibile” opzione.
Per impostazione predefinita, l'identificazione della regione si basa sull'indirizzo del server al quale il client si sta connettendo. Per essere membro della regione di fiducia, il server deve essere membro della zona Siti attendibili di Windows. Puoi configurarlo utilizzando la “zona Internet di Windows” impostazione.
In alternativa, per la compatibilità con client non Windows, l'indirizzo del server può essere specificamente considerato attendibile utilizzando la “Indirizzo” impostazione. Questa è una lista di server separati da virgole che supportano l'uso di caratteri jolly, per esempio, cps*.citrix.com.

“Affidabilità della sessione e riconnessione automatica”
Usa questa policy per controllare il comportamento del client quando un guasto di rete causa la perdita della connessione.
Quando questa policy è abilitata, il client tenterà di riconnettersi a un server solo se “Abilita riconnessione” è selezionato. Per impostazione predefinita vengono effettuati tre tentativi di riconnessione, ma ciò può essere modificato utilizzando il “Numero di tentativi” impostazione. Allo stesso modo il ritardo tra i tentativi può essere modificato rispetto al valore predefinito di 30 secondi usando il “Ritardo tra i tentativi” impostazione.
È prevista un'impostazione separata, “Abilita riconnessione SSL/TLS”, per consentire la riconnessione a un server SSL/TLS. Il supporto per questa impostazione dipende dalla configurazione del server SSL.

In “Componenti Citrix” > “Presentation Server Client” > “Instradamento di rete” > “Procura” abbiamo diverse direttive:

“Configura le impostazioni del proxy del client”
Usa questa policy per configurare i proxy di rete principali che il client può utilizzare quando si connette a un'applicazione o desktop remoto.
Quando questa policy non è configurata, il client userà le proprie impostazioni per decidere se connettersi tramite un server proxy.
Quando questa policy è abilitata, il client utilizzerà il proxy configurato in base al tipo di proxy selezionato:
– Tipo di proxy: Nessuno: Quando “Nessuno” è selezionato, il client tenterà di connettersi direttamente al server senza attraversare un server proxy.
– Tipo di proxy: Automatico: Quando “Automatico” è selezionato, il client utilizzerà le impostazioni della macchina locale per determinare quale server proxy usare per una connessione. Queste sono generalmente le impostazioni utilizzate dal browser web installato sulla macchina.
– Tipo di proxy: Copione: Quando “Copione” è selezionato, il client recupererà un file basato su JavaScript “.pac” dall'URL specificato nell'opzione “URL dello script proxy” della policy. Il “.pac” il file viene eseguito per identificare quale server proxy dovrebbe essere utilizzato per la connessione.
– Tipo di proxy: Sicuro: Quando “Sicuro” è selezionato, il client contatterà il proxy identificato da “Nomi host del proxy” e “Porte del proxy” Impostazioni. Il protocollo di negoziazione utilizzerà un “HTTP CONNECT” header request specificando l'indirizzo di destinazione desiderato. Questo protocollo proxy è comunemente usato per il traffico basato su HTTP, e supporta l'autenticazione del proxy GSSAPI.
– Tipo di proxy: SOCKS/SOCKS V4/SOCKS V5: Quando viene selezionato un “CALZINI” proxy, il client eseguirà un handshake SOCKS V4 o SOCKS V5 con il proxy identificato da “Nomi host del proxy” e “Porte del proxy” Impostazioni. Il “CALZINI” l'opzione rileverà e utilizzerà la versione corretta di Socks.
Per qualsiasi tipo di proxy, puoi fornire un elenco di server che non attraversano il proxy. Questi dovrebbero essere collocati nella “Lista di bypass del server”.

“Configura le impostazioni di failover del proxy del client”
Usa questa policy per configurare proxy di rete alternativi che il client può utilizzare se il proxy di rete principale non riesce a connettersi a un'applicazione o desktop remoto.
Quando questa policy non è configurata, il client userà le proprie impostazioni per decidere se connettersi tramite un server proxy.
Quando questa policy è abilitata, il client tenterà una connessione utilizzando un proxy alternativo se la connessione al proxy principale fallisce. Le impostazioni del proxy di failover funzionano in modo identico alle impostazioni del proxy principale.
Se sia il proxy principale sia quello alternativo non riescono a gestire la connessione, selezionando la “Failover a diretto” la casella di controllo istruisce il client a tentare una connessione diretta finale senza proxy.

“Configura le impostazioni del proxy SOCKS”
Usa questa policy per configurare l'uso di proxy SOCKS aggiuntivi necessari per alcune topologie di rete avanzate.
Quando abilitato, il client esaminerà la “versione del protocollo SOCKS” impostazione. Se la connessione tramite SOCKS non è disabilitata, il client tenterà di connettersi utilizzando il proxy SOCKS specificato da “Nomi host del proxy” e “Porte del proxy” Impostazioni.
Il client supporta connessioni utilizzando server proxy SOCKS v4 o SOCKS v5. In alternativa, può tentare di rilevare automaticamente la versione utilizzata dal server proxy.

“Configura l'autenticazione del proxy”
Usa questa politica per controllare i meccanismi di autenticazione che il client utilizza quando si connette a un server proxy. I server proxy autenticati possono essere utilizzati per monitorare il traffico dati in grandi distribuzioni di rete.
In generale, l'autenticazione è gestita dal sistema operativo, ma in alcuni scenari, all'utente può essere fornito un nome utente e una password specifici. Per evitare che all'utente venga richiesto specificamente di inserire queste credenziali, cancella la “Richiedi all'utente le credenziali” casella di controllo. Questo costringerà il client a tentare una connessione anonima. In alternativa, puoi configurare il client per connettersi utilizzando le credenziali fornite dal server dell'interfaccia web, oppure queste possono essere specificate esplicitamente tramite Criteri di gruppo utilizzando il “Nome utente esplicito” e “Password esplicita” Opzioni.

In “Componenti Citrix” > “Presentation Server Client” > “Autenticazione utente ” abbiamo diverse direttive:

“Autenticazione tramite smart card”
Usa questa politica per controllare come il client utilizza le smart card collegate al dispositivo client.
Quando abilitato, questa politica consente al server remoto di accedere alle smart card collegate al dispositivo client per l'autenticazione e altri scopi.
Quando disabilitata, il server non può accedere alle smart card collegate al dispositivo client.

“Autenticazione Kerberos”
Usa questa politica per controllare come il client utilizza Kerberos per autenticare l'utente all'applicazione remota o al desktop.
Quando abilitato, questa politica consente al client di autenticare l'utente utilizzando il protocollo Kerberos. Kerberos è una transazione di autenticazione autorizzata dal Domain Controller che evita la necessità di trasmettere i dati reali delle credenziali dell'utente al server.
Quando disabilitata, il client non tenterà l'autenticazione Kerberos.

“Nome utente e password locali”
Usa questa policy per istruire il client a usare le stesse credenziali di accesso (autenticazione pass-through) per il Citrix Presentation Server come macchina client.
Quando questa policy è abilitata, il client può essere impedito di usare le credenziali di accesso dell'utente corrente per autenticarsi al server remoto cancellando il “Abilita l'autenticazione pass-through” casella di controllo.
Quando viene eseguito in un ambiente Novell Directory Server, selezionando la “Usa le credenziali del Novell Directory Server” la casella di controllo richiede che il client usi le credenziali NDS dell'utente.

“Credenziali memorizzate localmente”
Usa questa politica per controllare come i dati delle credenziali utente memorizzati sui computer degli utenti o inseriti nei file ICA vengano utilizzati per autenticare l'utente all'applicazione o al desktop pubblicato remoto.
Quando questa policy è abilitata, puoi impedire che le password memorizzate localmente vengano inviate automaticamente ai server remoti deselezionando “Consenti l'autenticazione utilizzando le credenziali memorizzate localmente” casella di controllo. Questo fa sì che tutti i campi password vengano sostituiti con dati fittizi.
Inoltre, le opzioni “Nome utente” e “Dominio” possono essere utilizzate per limitare o sovrascrivere quali utenti possono essere autenticati automaticamente ai server. Questi possono essere specificati come elenchi separati da virgola.

“Biglietto di autenticazione Web Interface”
Usa questa politica per controllare l'infrastruttura dei ticket utilizzata durante l'autenticazione tramite Web Interface.
Quando questa policy è abilitata, la gestione dei ticket della Web Interface legacy può essere disabilitata deselezionando “Gestione ticket legacy” casella di controllo. Il ticket per l'interfaccia web legacy è stato implementato passando un cookie di autenticazione monouso al server nel campo password ClearText.
A partire dalla versione 4.5 dell'interfaccia Web, il client gestisce un token di autenticazione sotto forma di un LogonTicket opaco con un'interpretazione associata definita dal LogonTicketType. Questa funzionalità può essere disabilitata cancellando il “Interfaccia web 4.5 e sopra” casella di controllo.

In “Componenti Citrix” > “Presentation Server Client” > “Dispositivi client remoti” abbiamo diverse direttive:

“Mappatura dei dischi client”
Usa questa policy per abilitare e limitare l'accesso dell'applicazione remota o del desktop ai file system client.
Quando abilitato, il client negherà completamente la mappatura dei dischi client (CDM) accesso al canale virtuale al file system del client se la casella di spunta “Abilita mappatura dei dischi client” non è selezionata. Questo impedisce alla DLL di implementare il canale virtuale di mappatura dei dischi client (vdcdmn.dll) from loading on client start up. At this point, you can delete the DLL from the client package.
If CDM is enabled, further options are available to restrict the type of access available to the server. If the “Read-only client drives” check box is selected, the CDM virtual channel only permits read access to client drives.
Access to Windows drives can be disabled by entering the relevant drive letter in the “Do not map drives” box. This is a concatenation of all drives that should not be mapped when connecting to a published application or desktop, per esempio “ABFK” disables the drives A, B, F and K.

“Client printers”
Use this policy to enable and restrict the remote application or desktop’s access to client printers.
When this policy is disabled, il client impedisce al server di accedere o stampare sulle stampanti disponibili sul dispositivo client.

“Accesso all'hardware del client”
Usa questa policy per abilitare e limitare l'accesso dell'applicazione o del desktop remoto alle porte seriali del client, USB, e parallele. Questo consente al server di utilizzare l'hardware collegato localmente.

“Acquisizione immagini”
Usa questa policy per abilitare e limitare l'accesso dell'applicazione o del desktop remoto agli scanner, webcam, e ad altri dispositivi di imaging sul dispositivo client.

“Microfono del client”
Usa questa policy per abilitare e limitare l'accesso dell'applicazione o del desktop remoto ai dispositivi locali di acquisizione audio (microfoni).
I controlli aggiuntivi e gli indicatori forniti dal dispositivo Philips SpeechMike possono essere disabilitati deselezionando l'opzione “Usa controlli remoti SpeechMike” casella di controllo.

“Appunti”
Usa questa politica per abilitare e limitare l'accesso del client agli appunti dall'applicazione o desktop remoto.

In “Componenti Citrix” > “Presentation Server Client” > “Dispositivi client remoti” abbiamo diverse direttive:

“Impostazioni audio del client”
Usa questa politica per controllare come gli effetti sonori e la musica prodotti dalle applicazioni o dai desktop remoti vengono indirizzati al computer client.
Quando questa policy è abilitata, le opzioni “Abilita audio” La casella di controllo può essere utilizzata per disabilitare completamente la mappatura audio del client. Questo non influisce sui dati audio dal client al server, che sono controllati attraverso il “Dispositivi client remoti” criterio.
È anche possibile controllare la qualità audio. Sono supportati tre livelli di qualità: bassa, media e alta. Questa impostazione influisce sia sulla qualità audio dal server al client che dal client al server. Nota che i requisiti di larghezza di banda per l'audio ad alta qualità potrebbero rendere questa impostazione non adatta a molte implementazioni.

“Impostazioni grafiche del client”
Usa questa policy per controllare la qualità della grafica visualizzata dalle applicazioni o dai desktop remoti. Grafica di qualità inferiore può aiutare a migliorare l'esperienza dell'utente quando la larghezza di banda disponibile è limitata.
– Profondità del colore: Questo specifica la profondità del colore preferita per una sessione. In generale, Profondità di colore basse forniscono migliori prestazioni con larghezza di banda ridotta; Tuttavia, alcune delle tecnologie di compressione disponibili possono essere utilizzate solo con colori completi, quindi le prestazioni effettive dipendono dall'applicazione individuale e dal modello di utilizzo. Il server può decidere di non rispettare l'impostazione della profondità del colore scelta perché profondità di colore più elevate comportano un elevato utilizzo della memoria sui server.
– Cache su disco: Per dispositivi client con RAM limitata, possono essere ottenuti migliori tassi di compressione salvando gli oggetti grafici temporanei nella cache del disco.
– Compressione lossy: Per massimizzare la compressione e la reattività, il server a volte permette ai dati dell'immagine trasferiti di degradare in qualità. Questo di solito accade quando la connessione è lenta, o la larghezza di banda è limitata e sono in corso aggiornamenti di grandi aree. Questo non è appropriato per tutte le applicazioni e gli utilizzi. Disattivando questa impostazione si forza la trasmissione di tutti i dati dell'immagine a piena qualità.
– Accelerazione del browser SpeedScreen: Questa funzione permette alle immagini visualizzate da Microsoft Internet Explorer di essere trattate in modo speciale dal canale virtuale di accelerazione del browser SpeedBrowse. Questo migliora la reattività quando si utilizza Microsoft Internet Explorer in remoto.
– Compressione lossy dell'accelerazione del browser SpeedScreen: Questa è un'estensione dell'impostazione di accelerazione del browser SpeedScreen, consentire che le immagini visualizzate da Microsoft Internet Explorer vengano degradate prima della trasmissione al client. Questo non è appropriato per tutte le applicazioni e gli utilizzi. Selezionare questa opzione forza tutti i dati delle immagini del browser Web a essere trasmessi a piena qualità.
– Video remoto: L'opzione video remoto consente al server di trasmettere direttamente determinati dati video al client. Questo offre prestazioni migliori rispetto alla decompressione e alla ricompressione dei dati video sul computer che esegue Citrix Presentation Server.
– Riduzione della latenza SpeedScreen: Abilitare le impostazioni di Riduzione della latenza SpeedScreen consente al client di prevedere come il movimento del mouse e l'immissione di testo appariranno sul server. Questo fa sì che l'utente riceva un feedback immediato quando digita o muove il puntatore del mouse.

“Impostazioni di visualizzazione del client”
Usa questa policy per controllare come il client presenta applicazioni e desktop remoti all'utente finale. Le applicazioni remote possono essere integrate senza soluzione di continuità con le applicazioni locali, oppure l'intero ambiente locale può essere sostituito con un desktop remoto.
– Finestre senza soluzione di continuità: Quando impostato su falso, questa impostazione consente al client di non utilizzare finestre senza soluzione di continuità, mostrando invece una finestra di dimensioni fisse. Quando impostato su vero, forza il client a richiedere finestre senza soluzione di continuità, anche se il server può scegliere di rifiutare questa richiesta.
– Larghezza e altezza della finestra: Queste impostazioni determinano la larghezza e l'altezza della finestra. È possibile definire intervalli di valori preferiti (per esempio 800-). Il server può scegliere di ignorare questo valore. Questa impostazione viene ignorata quando le finestre senza soluzione di continuità sono in uso.
– Percentuale finestra: Questo può essere utilizzato come alternativa alla scelta manuale di larghezza e altezza. Seleziona una dimensione della finestra come percentuale fissa dell'intero schermo. Il server può scegliere di ignorare questo valore. Questa impostazione viene ignorata quando le finestre senza soluzione di continuità sono in uso.
– Schermo intero: Questa impostazione passa il client in modalità schermo intero. Il display del server coprirà completamente il display del client.

“Applicazioni remote”
Usa questa politica per configurare la gestione delle applicazioni remote da parte del client.
Quando abilitato, questa politica utilizza l'elenco nella “Applicazione” casella per determinare quali applicazioni pubblicate possono essere avviate direttamente dal client.
Puoi richiedere che le applicazioni remote condividano le sessioni (eseguire in una singola connessione ICA). Questo fornisce una migliore esperienza utente, ma a volte non è desiderabile. La funzione di condivisione delle sessioni può essere disabilitata cancellando la “Condivisione delle sessioni” casella di controllo.

Si queremos anche podemos editar estas directivas a nivel de usuario y no hacerlo a nivel de equipo, estaría en “Impostazioni utente” > “Modelli amministrativi” > “Componenti Citrix” > “Presentation Server Client”.

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0