In questo documento viene spiegato come configurare alcuni aspetti del client Citrix, Ciò influirebbe sui clienti con la versione successiva alla 10.x. Quello che dovresti fare è scaricare un modello (icaclient.adm – QUI), e aggiungerlo alla policy che ci interessa, Modificare le configurazioni che vogliamo per team o per utente e applicarle.

Importare il modello – QUI
Descrizione del modello e delle sue direttive – QUI

Importare il modello ,

In questo documento viene spiegato usando la console di “Gestione Criteri di gruppo”, questa console non è necessario averla installata, non fa differenza, si accede in modo simile dall'OU nella console di “Utenti e computer di Active Directory”.

Una volta aperta la console, si tratta di andare all'Unità Organizzativa e modificare la direttiva che ci interessa o crearne una per provarla, questo è il mio caso, sull'OU che ci interessa con il tasto destro “Creare e collegare un oggetto Criteri di gruppo qui…”

Ti diamo un nome descrittivo, “Accettare”

E la modifichiamo, per questo, sulla direttiva con il tasto destro “Redigere…”,

Ora andiamo ad inserire il modello di Citrix, busta “Configurazione dell'attrezzatura” > Fare clic con il tasto destro su “Modelli amministrativi” > “Aggiungere o rimuovere modelli…”

Vedremo quelli che abbiamo, e inseriamo il nuovo con “Aggiungere…”

Cerchiamo il modello (icaclient.adm – QUI) che abbiamo scaricato, lo selezioniamo e lo apriamo,

Vediamo che è lì, Perfetto, chiudiamo questa finestra,

Descrizione del modello e delle sue direttive,

Ora abbiamo diverse direttive da “Configurazione dell'attrezzatura” > “Modelli amministrativi” > “Componenti Citrix”. In “Presentation Server Client” abbiamo una direttiva chiamata:

“Allow client connections”
Usa questa policy per abilitare o disabilitare completamente le connessioni dal client Citrix Presentation Server.
Quando questa policy non è configurata, il client consentirà la connessione ai server.
Quando questa policy è abilitata, il client si connetterà a un server solo se l'opzione “Abilita client” è selezionata, e se il suo numero di versione è maggiore o uguale alla “Versione minima del client”.
Quando la policy è disabilitata, il client non consentirà connessioni a nessun server.

In “Componenti Citrix” > “Presentation Server Client” > “Instradamento di rete” abbiamo diverse direttive:

“Crittografia dei dati TLS/SSL e identificazione del server”
Usa questa policy per configurare le opzioni TLS/SSL che aiutano a garantire che il client si connetta ad applicazioni e desktop remoti genuini. TLS e SSL crittografano i dati trasferiti per impedire che terzi visualizzino o modifichino il traffico dati. Citrix raccomanda che tutte le connessioni su reti non fidate utilizzino TLS/SSL o un'altra soluzione di crittografia con almeno lo stesso livello di protezione.
Quando questa policy è abilitata, il client applicherà queste impostazioni a tutte le connessioni TLS/SSL eseguite dal client. La casella di controllo “Richiedi SSL per tutte le connessioni” può essere utilizzata per forzare il client a usare il protocollo TLS o SSL per tutte le connessioni che esegue.
TLS e SSL identificano i server remoti tramite il nome comune sul certificato di sicurezza inviato dal server durante la negoziazione della connessione. Di solito il nome comune è il nome DNS del server, per esempio www.citrix.com. È possibile limitare i nomi comuni a cui il client si connetterà specificando un elenco separato da virgole in “Server SSL consentiti” impostazione. Nota che un indirizzo jolly, per esempio “*.citrix.com:443”, corrisponderà a tutti i nomi comuni che terminano con “.citrix.com”. Le informazioni contenute in un certificato sono garantite come corrette dall'emittente del certificato.
Alcune politiche di sicurezza hanno requisiti relativi alla scelta esatta della crittografia utilizzata per una connessione. Per impostazione predefinita, il client selezionerà automaticamente TLS v1.0 o SSL v3.0 (con preferenza per TLS v1.0) a seconda di ciò che il server supporta. Questo può essere limitato solo a TLS v1.0 o SSL v3.0 utilizzando il “Versione SSL/TLS” impostazione.
Similmente, alcune politiche di sicurezza hanno requisiti relativi alle suite crittografiche utilizzate per una connessione. Per impostazione predefinita, il client negozierà automaticamente una suite crittografica adeguata tra le cinque elencate di seguito. Se necessario, è possibile limitarsi solo alle suite crittografiche in una delle due liste.
Suite crittografiche governative:
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Suite di cifratura commerciali:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
Certificate Revocation List (CRL) Il controllo è una funzione avanzata supportata da alcuni emittenti di certificati. Permette che i certificati di sicurezza vengano revocati (invalidati prima della loro data di scadenza) in caso di compromissione crittografica della chiave privata del certificato, o semplicemente per un cambiamento imprevisto del nome DNS.
Le CRL valide devono essere scaricate periodicamente dall'emittente del certificato e memorizzate localmente. Questo può essere controllato tramite la selezione effettuata in “Verifica CRL”
– Disabile: Quando “Disabile” è selezionato, non verrà effettuato alcun controllo CRL.
– Controlla solo le CRL memorizzate localmente: Quando “Controlla solo le CRL memorizzate localmente” è selezionato, qualsiasi CRL precedentemente installata o scaricata verrà utilizzata nella convalida del certificato. Se un certificato risulta revocato, la connessione fallirà.
– Recupera CRL dalla rete: Quando “Recupera CRL dalla rete” è selezionato, the client will attempt to retrieve CRLs from the relevant certificate issuers. Se un certificato risulta revocato, la connessione fallirà.
– Require CRLs for connection: Quando “Require CRLs for connection” è selezionato, the client will attempt to retrieve CRLs from the relevant certificate issuers. Se un certificato risulta revocato, la connessione fallirà. If the client is unable to retrieve a valid CRL, la connessione fallirà.

“Configure trusted server configuration”
Use this policy to control how the client identifies the published application or desktop it is connecting to. The client will determine a trust level, called a “trust region” with a connection. The trust region will then determine how the client is configured for the connection.
Quando questa policy è abilitata, the client can be forced to perform region identification using the “Enforce trusted server configuration” option.
Per impostazione predefinita, region identification is based on the address of the server the client is connecting to. To be a member of the trusted region, the server must be a member of the Windows Trusted Sites zone. Puoi configurarlo utilizzando la “zona Internet di Windows” impostazione.
In alternativa, per la compatibilità con client non Windows, l'indirizzo del server può essere specificamente considerato attendibile utilizzando la “Indirizzo” impostazione. Questa è una lista di server separati da virgole che supportano l'uso di caratteri jolly, per esempio, cps*.citrix.com.

“Affidabilità della sessione e riconnessione automatica”
Usa questa policy per controllare il comportamento del client quando un guasto di rete causa la perdita della connessione.
Quando questa policy è abilitata, il client tenterà di riconnettersi a un server solo se “Abilita riconnessione” è selezionato. Per impostazione predefinita vengono effettuati tre tentativi di riconnessione, ma ciò può essere modificato utilizzando il “Numero di tentativi” impostazione. Allo stesso modo il ritardo tra i tentativi può essere modificato rispetto al valore predefinito di 30 secondi usando il “Ritardo tra i tentativi” impostazione.
È prevista un'impostazione separata, “Abilita riconnessione SSL/TLS”, per consentire la riconnessione a un server SSL/TLS. Il supporto per questa impostazione dipende dalla configurazione del server SSL.

In “Componenti Citrix” > “Presentation Server Client” > “Instradamento di rete” > “Procura” abbiamo diverse direttive:

“Configura le impostazioni del proxy del client”
Usa questa policy per configurare i proxy di rete principali che il client può utilizzare quando si connette a un'applicazione o desktop remoto.
Quando questa policy non è configurata, il client userà le proprie impostazioni per decidere se connettersi tramite un server proxy.
Quando questa policy è abilitata, il client utilizzerà il proxy configurato in base al tipo di proxy selezionato:
– Tipo di proxy: Nessuno: Quando “Nessuno” è selezionato, il client tenterà di connettersi direttamente al server senza attraversare un server proxy.
– Tipo di proxy: Automatico: Quando “Automatico” è selezionato, il client utilizzerà le impostazioni della macchina locale per determinare quale server proxy usare per una connessione. Queste sono generalmente le impostazioni utilizzate dal browser web installato sulla macchina.
– Tipo di proxy: Copione: Quando “Copione” è selezionato, il client recupererà un file basato su JavaScript “.pac” dall'URL specificato nell'opzione “URL dello script proxy” della policy. Il “.pac” file is executed to identify which proxy server should be used for the connection.
– Tipo di proxy: Secure: Quando “Secure” è selezionato, the client will contact the proxy identified by the “Proxy host names” e “Proxy ports” Impostazioni. The negotiation protocol will use a “HTTP CONNECT” header request specifying the desired destination address. This proxy protocol is commonly used for HTTP based traffic, and supports GSSAPI proxy authentication.
– Tipo di proxy: SOCKS/SOCKS V4/SOCKS V5: When a “CALZINI” proxy is selected, the client will perform a SOCKS V4 or SOCKS V5 handshake to the proxy identified by the “Proxy hostnames” e “Proxy ports” Impostazioni. Il “CALZINI” option will detect and use the correct version of Socks.
For any proxy type, you can provide a list of servers that do not traverse the proxy. These should be placed in the “Bypass server list”.

“Configure client failover proxy settings”
Use this policy to configure alternative network proxies that the client can use if the primary network proxy fails to connect to a remote application or desktop.
Quando questa policy non è configurata, il client userà le proprie impostazioni per decidere se connettersi tramite un server proxy.
Quando questa policy è abilitata, the client will attempt a connection using an alternative proxy if connection to a primary proxy fails. The failover proxy settings operate in an identical fashion to the primary proxy settings.
If both the primary and alternative proxy fail to service the connection, selecting the “Failover to direct” check box instructs the client to attempt a final direct connection with no proxies.

“Configure SOCKS proxy settings”
Use this policy to configure the use of additional SOCKS proxies that are required for some advanced network topologies.
Quando abilitato, the client will examine the “SOCKS protocol version” impostazione. If connection via SOCKS is not disabled, the client will attempt to connect using the SOCKS proxy specified by the “Proxy host names” e “Proxy ports” Impostazioni.
The client supports connections using either SOCKS v4 or SOCKS v5 proxy servers. In alternativa, it can attempt to automatically detect the version being used by the proxy server.

“Configure proxy authentication”
Use this policy to control the authentication mechanisms that the client uses when connecting to a proxy server. Authenticating proxy servers can be used to monitor data traffic in large network deployments.
In general, authentication is handled by the operating system but in some scenarios, the user may be provided with a specific user name and password. To prevent the user from being specifically prompted for these credentials, clear the “Prompt user for credentials” check box. This will force the client to attempt an anonymous connection. In alternativa, puoi configurare il client per connettersi utilizzando le credenziali fornite dal server dell'interfaccia web, oppure queste possono essere specificate esplicitamente tramite Criteri di gruppo utilizzando il “Nome utente esplicito” e “Password esplicita” Opzioni.

In “Componenti Citrix” > “Presentation Server Client” > “Autenticazione utente ” abbiamo diverse direttive:

“Autenticazione tramite smart card”
Usa questa politica per controllare come il client utilizza le smart card collegate al dispositivo client.
Quando abilitato, questa politica consente al server remoto di accedere alle smart card collegate al dispositivo client per l'autenticazione e altri scopi.
Quando disabilitata, il server non può accedere alle smart card collegate al dispositivo client.

“Autenticazione Kerberos”
Usa questa politica per controllare come il client utilizza Kerberos per autenticare l'utente all'applicazione remota o al desktop.
Quando abilitato, questa politica consente al client di autenticare l'utente utilizzando il protocollo Kerberos. Kerberos è una transazione di autenticazione autorizzata dal Domain Controller che evita la necessità di trasmettere i dati reali delle credenziali dell'utente al server.
Quando disabilitata, il client non tenterà l'autenticazione Kerberos.

“Nome utente e password locali”
Usa questa policy per istruire il client a usare le stesse credenziali di accesso (autenticazione pass-through) per il Citrix Presentation Server come macchina client.
Quando questa policy è abilitata, il client può essere impedito di usare le credenziali di accesso dell'utente corrente per autenticarsi al server remoto cancellando il “Abilita l'autenticazione pass-through” check box.
Quando viene eseguito in un ambiente Novell Directory Server, selecting the “Usa le credenziali del Novell Directory Server” la casella di controllo richiede che il client usi le credenziali NDS dell'utente.

“Credenziali memorizzate localmente”
Usa questa politica per controllare come i dati delle credenziali utente memorizzati sui computer degli utenti o inseriti nei file ICA vengano utilizzati per autenticare l'utente all'applicazione o al desktop pubblicato remoto.
Quando questa policy è abilitata, puoi impedire che le password memorizzate localmente vengano inviate automaticamente ai server remoti deselezionando “Consenti l'autenticazione utilizzando le credenziali memorizzate localmente” check box. Questo fa sì che tutti i campi password vengano sostituiti con dati fittizi.
Inoltre, le opzioni “Nome utente” e “Dominio” possono essere utilizzate per limitare o sovrascrivere quali utenti possono essere autenticati automaticamente ai server. Questi possono essere specificati come elenchi separati da virgola.

“Biglietto di autenticazione Web Interface”
Usa questa politica per controllare l'infrastruttura dei ticket utilizzata durante l'autenticazione tramite Web Interface.
Quando questa policy è abilitata, la gestione dei ticket della Web Interface legacy può essere disabilitata deselezionando “Gestione ticket legacy” check box. Il ticket per l'interfaccia web legacy è stato implementato passando un cookie di autenticazione monouso al server nel campo password ClearText.
A partire dalla versione 4.5 dell'interfaccia Web, il client gestisce un token di autenticazione sotto forma di un LogonTicket opaco con un'interpretazione associata definita dal LogonTicketType. Questa funzionalità può essere disabilitata cancellando il “Interfaccia web 4.5 e sopra” check box.

In “Componenti Citrix” > “Presentation Server Client” > “Dispositivi client remoti” abbiamo diverse direttive:

“Mappatura dei dischi client”
Usa questa policy per abilitare e limitare l'accesso dell'applicazione remota o del desktop ai file system client.
Quando abilitato, il client negherà completamente la mappatura dei dischi client (CDM) accesso al canale virtuale al file system del client se la casella di spunta “Abilita mappatura dei dischi client” non è selezionata. Questo impedisce alla DLL di implementare il canale virtuale di mappatura dei dischi client (vdcdmn.dll) from loading on client start up. At this point, you can delete the DLL from the client package.
If CDM is enabled, further options are available to restrict the type of access available to the server. If the “Read-only client drives” check box is selected, the CDM virtual channel only permits read access to client drives.
Access to Windows drives can be disabled by entering the relevant drive letter in the “Do not map drives” box. This is a concatenation of all drives that should not be mapped when connecting to a published application or desktop, per esempio “ABFK” disables the drives A, B, F and K.

“Client printers”
Use this policy to enable and restrict the remote application or desktop’s access to client printers.
When this policy is disabled, il client impedisce al server di accedere o stampare sulle stampanti disponibili sul dispositivo client.

“Accesso all'hardware del client”
Usa questa policy per abilitare e limitare l'accesso dell'applicazione o del desktop remoto alle porte seriali del client, USB, e parallele. Questo consente al server di utilizzare l'hardware collegato localmente.

“Acquisizione immagini”
Usa questa policy per abilitare e limitare l'accesso dell'applicazione o del desktop remoto agli scanner, webcam, e ad altri dispositivi di imaging sul dispositivo client.

“Microfono del client”
Usa questa policy per abilitare e limitare l'accesso dell'applicazione o del desktop remoto ai dispositivi locali di acquisizione audio (microfoni).
I controlli aggiuntivi e gli indicatori forniti dal dispositivo Philips SpeechMike possono essere disabilitati deselezionando l'opzione “Usa controlli remoti SpeechMike” check box.

“Appunti”
Usa questa politica per abilitare e limitare l'accesso del client agli appunti dall'applicazione o desktop remoto.

In “Componenti Citrix” > “Presentation Server Client” > “Dispositivi client remoti” abbiamo diverse direttive:

“Impostazioni audio del client”
Usa questa politica per controllare come gli effetti sonori e la musica prodotti dalle applicazioni o dai desktop remoti vengono indirizzati al computer client.
Quando questa policy è abilitata, le opzioni “Abilita audio” La casella di controllo può essere utilizzata per disabilitare completamente la mappatura audio del client. Questo non influisce sui dati audio dal client al server, che sono controllati attraverso il “Dispositivi client remoti” criterio.
È anche possibile controllare la qualità audio. Sono supportati tre livelli di qualità: bassa, media e alta. Questa impostazione influisce sia sulla qualità audio dal server al client che dal client al server. Nota che i requisiti di larghezza di banda per l'audio ad alta qualità potrebbero rendere questa impostazione non adatta a molte implementazioni.

“Impostazioni grafiche del client”
Usa questa policy per controllare la qualità della grafica visualizzata dalle applicazioni o dai desktop remoti. Grafica di qualità inferiore può aiutare a migliorare l'esperienza dell'utente quando la larghezza di banda disponibile è limitata.
– Profondità del colore: Questo specifica la profondità del colore preferita per una sessione. In general, Profondità di colore basse forniscono migliori prestazioni con larghezza di banda ridotta; Tuttavia, alcune delle tecnologie di compressione disponibili possono essere utilizzate solo con colori completi, quindi le prestazioni effettive dipendono dall'applicazione individuale e dal modello di utilizzo. Il server può decidere di non rispettare l'impostazione della profondità del colore scelta perché profondità di colore più elevate comportano un elevato utilizzo della memoria sui server.
– Cache su disco: Per dispositivi client con RAM limitata, possono essere ottenuti migliori tassi di compressione salvando gli oggetti grafici temporanei nella cache del disco.
– Compressione lossy: Per massimizzare la compressione e la reattività, il server a volte permette ai dati dell'immagine trasferiti di degradare in qualità. Questo di solito accade quando la connessione è lenta, o la larghezza di banda è limitata e sono in corso aggiornamenti di grandi aree. Questo non è appropriato per tutte le applicazioni e gli utilizzi. Disattivando questa impostazione si forza la trasmissione di tutti i dati dell'immagine a piena qualità.
– Accelerazione del browser SpeedScreen: Questa funzione permette alle immagini visualizzate da Microsoft Internet Explorer di essere trattate in modo speciale dal canale virtuale di accelerazione del browser SpeedBrowse. Questo migliora la reattività quando si utilizza Microsoft Internet Explorer in remoto.
– Compressione lossy dell'accelerazione del browser SpeedScreen: Questa è un'estensione dell'impostazione di accelerazione del browser SpeedScreen, consentire che le immagini visualizzate da Microsoft Internet Explorer vengano degradate prima della trasmissione al client. Questo non è appropriato per tutte le applicazioni e gli utilizzi. Selezionare questa opzione forza tutti i dati delle immagini del browser Web a essere trasmessi a piena qualità.
– Video remoto: L'opzione video remoto consente al server di trasmettere direttamente determinati dati video al client. Questo offre prestazioni migliori rispetto alla decompressione e alla ricompressione dei dati video sul computer che esegue Citrix Presentation Server.
– Riduzione della latenza SpeedScreen: Abilitare le impostazioni di Riduzione della latenza SpeedScreen consente al client di prevedere come il movimento del mouse e l'immissione di testo appariranno sul server. Questo fa sì che l'utente riceva un feedback immediato quando digita o muove il puntatore del mouse.

“Impostazioni di visualizzazione del client”
Usa questa policy per controllare come il client presenta applicazioni e desktop remoti all'utente finale. Le applicazioni remote possono essere integrate senza soluzione di continuità con le applicazioni locali, oppure l'intero ambiente locale può essere sostituito con un desktop remoto.
– Finestre senza soluzione di continuità: Quando impostato su falso, questa impostazione consente al client di non utilizzare finestre senza soluzione di continuità, mostrando invece una finestra di dimensioni fisse. Quando impostato su vero, forza il client a richiedere finestre senza soluzione di continuità, anche se il server può scegliere di rifiutare questa richiesta.
– Larghezza e altezza della finestra: Queste impostazioni determinano la larghezza e l'altezza della finestra. È possibile definire intervalli di valori preferiti (per esempio 800-). Il server può scegliere di ignorare questo valore. Questa impostazione viene ignorata quando le finestre senza soluzione di continuità sono in uso.
– Percentuale finestra: Questo può essere utilizzato come alternativa alla scelta manuale di larghezza e altezza. Seleziona una dimensione della finestra come percentuale fissa dell'intero schermo. Il server può scegliere di ignorare questo valore. Questa impostazione viene ignorata quando le finestre senza soluzione di continuità sono in uso.
– Schermo intero: Questa impostazione passa il client in modalità schermo intero. Il display del server coprirà completamente il display del client.

“Applicazioni remote”
Usa questa politica per configurare la gestione delle applicazioni remote da parte del client.
Quando abilitato, questa politica utilizza l'elenco nella “Applicazione” casella per determinare quali applicazioni pubblicate possono essere avviate direttamente dal client.
Puoi richiedere che le applicazioni remote condividano le sessioni (eseguire in una singola connessione ICA). Questo fornisce una migliore esperienza utente, ma a volte non è desiderabile. La funzione di condivisione delle sessioni può essere disabilitata cancellando la “Condivisione delle sessioni” check box.

Si queremos anche podemos editar estas directivas a nivel de usuario y no hacerlo a nivel de equipo, estaría en “Impostazioni utente” > “Modelli amministrativi” > “Componenti Citrix” > “Presentation Server Client”.

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0