Produktdokumentation
Citrix Virtual Apps and Desktops 7 2402 LTSR
PDF anzeigen

Sicherheitsaspekte und Best Practices

June 5, 2026
Beitrag von: 
C

Hinweis:

Ihre Organisation muss möglicherweise bestimmte Sicherheitsstandards erfüllen, um regulatorische Anforderungen zu erfüllen. Dieses Dokument behandelt dieses Thema nicht, da sich solche Sicherheitsstandards im Laufe der Zeit ändern. Aktuelle Informationen zu Sicherheitsstandards und Citrix-Produkten finden Sie unter http://www.citrix.com/security/.

Bewährte Sicherheitspraktiken

Halten Sie alle Maschinen in Ihrer Umgebung mit Sicherheitspatches auf dem neuesten Stand. Ein Vorteil ist, dass Sie Thin Clients als Terminals verwenden können, was diese Aufgabe vereinfacht.

Schützen Sie alle Maschinen in Ihrer Umgebung mit Antivirensoftware.

Erwägen Sie die Verwendung plattformspezifischer Anti-Malware-Software.

Installieren Sie Software bei der Installation in den vorgegebenen Standardpfaden.

  • Wenn Sie Software an einem anderen Speicherort als dem vorgegebenen Standardpfad installieren, sollten Sie zusätzliche Sicherheitsmaßnahmen, wie z. B. eingeschränkte Berechtigungen, für Ihren Dateispeicherort in Betracht ziehen.

Alle Netzwerkkommunikationen sollten entsprechend Ihrer Sicherheitsrichtlinie angemessen gesichert und verschlüsselt werden. Sie können die gesamte Kommunikation zwischen Microsoft Windows-Computern mithilfe von IPSec sichern; Details dazu finden Sie in der Dokumentation Ihres Betriebssystems. Darüber hinaus wird die Kommunikation zwischen Benutzergeräten und Desktops über Citrix SecureICA gesichert, das standardmäßig auf 128-Bit-Verschlüsselung konfiguriert ist. Sie können SecureICA beim Erstellen oder Aktualisieren einer Delivery Group konfigurieren.

Hinweis:

Citrix SecureICA ist Teil des ICA/HDX-Protokolls, aber kein standardkonformes Netzwerksicherheitsprotokoll wie Transport Layer Security (TLS). Sie können die Netzwerkkommunikation zwischen Benutzergeräten und Desktops auch mit TLS sichern. Informationen zur Konfiguration von TLS finden Sie unter Transport Layer Security (TLS).

Wenden Sie die bewährten Windows-Methoden für die Kontoverwaltung an. Erstellen Sie kein Konto auf einer Vorlage oder einem Image, bevor es von Machine Creation Services oder Provisioning Services dupliziert wird. Planen Sie keine Aufgaben mit gespeicherten privilegierten Domänenkonten. Erstellen Sie keine manuell freigegebenen Active Directory-Computerkonten. Diese Praktiken tragen dazu bei, dass ein Maschinenangriff keine lokalen persistenten Kontopasswörter erhält und diese dann verwendet, um sich bei MCS/PVS-Freigabe-Images anderer anzumelden.

Firewalls

Schützen Sie alle Maschinen in Ihrer Umgebung mit Perimeter-Firewalls, gegebenenfalls auch an Enklavengrenzen.

Alle Computer in Ihrer Umgebung sollten durch eine persönliche Firewall geschützt sein. Wenn Sie Kernkomponenten und VDAs installieren, können Sie festlegen, dass die für die Komponenten- und Feature-Kommunikation erforderlichen Ports automatisch geöffnet werden, wenn der Windows-Firewall-Dienst erkannt wird (auch wenn die Firewall nicht aktiviert ist). Sie können diese Firewall-Ports auch manuell konfigurieren. Wenn Sie eine andere Firewall verwenden, müssen Sie diese manuell konfigurieren.

Wenn Sie eine herkömmliche Umgebung auf diese Version migrieren, müssen Sie möglicherweise eine vorhandene Perimeter-Firewall neu positionieren oder neue Perimeter-Firewalls hinzufügen. Angenommen, es gibt eine Perimeter-Firewall zwischen einem herkömmlichen Client und einem Datenbankserver im Datencenter. Bei Verwendung dieser Version muss diese Perimeter-Firewall so platziert werden, dass der virtuelle Desktop und das Benutzergerät auf der einen Seite und die Datenbankserver und Delivery Controller im Datencenter auf der anderen Seite liegen. Erwägen Sie daher, eine Enklave in Ihrem Datencenter zu erstellen, um die Datenbankserver und Controller zu beherbergen. Erwägen Sie auch einen Schutz zwischen dem Benutzergerät und dem virtuellen Desktop.

Hinweis:

Die TCP-Ports 1494 und 2598 werden für ICA und CGP verwendet und sind daher wahrscheinlich an Firewalls geöffnet, damit Benutzer außerhalb des Datencenters darauf zugreifen können. Citrix empfiehlt, diese Ports nicht für andere Zwecke zu verwenden, um zu vermeiden, dass administrative Schnittstellen versehentlich Angriffen ausgesetzt sind. Die Ports 1494 und 2598 sind offiziell bei der Internet Assigned Number Authority (http://www.iana.org/) registriert.

Anwendungssicherheit

Um zu verhindern, dass Nicht-Administratoren bösartige Aktionen ausführen, empfehlen wir, Windows AppLocker-Regeln für Installationsprogramme, Anwendungen, ausführbare Dateien und Skripte auf dem VDA-Host und auf dem lokalen Windows-Client zu konfigurieren.

Benutzerberechtigungen verwalten

Gewähren Sie Benutzern nur die Berechtigungen, die sie benötigen. Microsoft Windows-Berechtigungen werden weiterhin auf die übliche Weise auf Desktops angewendet: Konfigurieren Sie Berechtigungen über die Zuweisung von Benutzerrechten und Gruppenmitgliedschaften über die Gruppenrichtlinie. Ein Vorteil dieser Version ist, dass es möglich ist, einem Benutzer Administratorrechte für einen Desktop zu gewähren, ohne ihm auch die physische Kontrolle über den Computer zu geben, auf dem der Desktop gespeichert ist.

Beachten Sie bei der Planung von Desktop-Berechtigungen Folgendes:

  • Standardmäßig sehen nicht privilegierte Benutzer, wenn sie sich mit einem Desktop verbinden, die Zeitzone des Systems, auf dem der Desktop ausgeführt wird, anstatt der Zeitzone ihres eigenen Benutzergeräts. Informationen dazu, wie Benutzer ihre lokale Zeit bei der Verwendung von Desktops sehen können, finden Sie im Artikel Liefergruppen verwalten.
  • Ein Benutzer, der Administrator eines Desktops ist, hat die volle Kontrolle über diesen Desktop. Wenn ein Desktop ein gepoolter Desktop und kein dedizierter Desktop ist, muss dem Benutzer in Bezug auf alle anderen Benutzer dieses Desktops, einschließlich zukünftiger Benutzer, vertraut werden. Alle Benutzer des Desktops müssen sich des potenziellen dauerhaften Risikos für ihre Datensicherheit bewusst sein, das durch diese Situation entsteht. Diese Überlegung gilt nicht für dedizierte Desktops, die nur einen einzigen Benutzer haben; dieser Benutzer sollte kein Administrator auf einem anderen Desktop sein.
  • Ein Benutzer, der Administrator eines Desktops ist, kann im Allgemeinen Software auf diesem Desktop installieren, einschließlich potenziell bösartiger Software. Der Benutzer kann auch potenziell den Datenverkehr in jedem mit dem Desktop verbundenen Netzwerk überwachen oder steuern.

Anmeldeberechtigungen verwalten

Anmeldeberechtigungen sind sowohl für Benutzerkonten als auch für Computerkonten erforderlich. Wie bei Microsoft Windows-Berechtigungen werden Anmeldeberechtigungen weiterhin auf die übliche Weise auf Desktops angewendet: Konfigurieren Sie Anmeldeberechtigungen über die Zuweisung von Benutzerrechten und Gruppenmitgliedschaften über die Gruppenrichtlinie.

Die Windows-Anmeldeberechtigungen sind: lokal anmelden, über Remotedesktopdienste anmelden, über das Netzwerk anmelden (auf diesen Computer vom Netzwerk aus zugreifen), als Batchauftrag anmelden und als Dienst anmelden.

Gewähren Sie Computerkonten nur die Anmeldeberechtigungen, die sie benötigen. Die Anmeldeberechtigung “Zugriff auf diesen Computer über das Netzwerk” ist erforderlich:

  • Auf VDAs, für die Computerkonten der Delivery Controller
  • Auf Delivery Controllern, für die Computerkonten der VDAs. Siehe Active Directory OU-basierte Controller-Erkennung.
  • Auf StoreFront™-Servern, für die Computerkonten anderer Server in derselben StoreFront-Servergruppe

Gewähren Sie Benutzerkonten nur die Anmeldeberechtigungen, die sie benötigen.

Laut Microsoft wird der Gruppe Remotedesktopbenutzer standardmäßig die Anmeldeberechtigung “Anmeldung über Remotedesktopdienste zulassen” erteilt (außer auf Domänencontrollern).

Die Sicherheitsrichtlinie Ihrer Organisation kann explizit festlegen, dass diese Gruppe von dieser Anmeldeberechtigung entfernt werden sollte. Ziehen Sie den folgenden Ansatz in Betracht:

  • Der Virtual Delivery Agent (VDA) für Multi-Session-OS verwendet Microsoft Remotedesktopdienste. Sie können die Gruppe Remotedesktopbenutzer als eingeschränkte Gruppe konfigurieren und die Mitgliedschaft der Gruppe über Active Directory-Gruppenrichtlinien steuern. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
  • Für andere Komponenten von Citrix Virtual Apps and Desktops™, einschließlich des VDA für Single-Session-OS, ist die Gruppe Remotedesktopbenutzer nicht erforderlich. Daher benötigen diese Komponenten nicht die Anmeldeberechtigung “Anmeldung über Remotedesktopdienste zulassen”; Sie können sie entfernen. Zusätzlich:
    • Wenn Sie diese Computer über Remotedesktopdienste verwalten, stellen Sie sicher, dass alle diese Administratoren bereits Mitglieder der Gruppe Administratoren sind.
    • Wenn Sie diese Computer nicht über Remotedesktopdienste verwalten, erwägen Sie, die Remotedesktopdienste selbst auf diesen Computern zu deaktivieren.

Obwohl es möglich ist, Benutzer und Gruppen der Anmeldeberechtigung “Anmeldung über Remotedesktopdienste verweigern” hinzuzufügen, wird die Verwendung von Anmeldeverweigerungsrechten im Allgemeinen nicht empfohlen. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Benutzerrechte konfigurieren

Die Installation des Delivery Controller™ erstellt die folgenden Windows-Dienste:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Verwaltet Microsoft Active Directory-Computerkonten für VMs.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): Erfasst Informationen zur Nutzung der Site-Konfiguration für Citrix, sofern diese Erfassung vom Site-Administrator genehmigt wurde. Anschließend werden diese Informationen an Citrix übermittelt, um das Produkt zu verbessern.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): Unterstützt die Verwaltung und Bereitstellung von AppDisks, die AppDNA-Integration und die Verwaltung von App-V.
  • Citrix Broker Service (NT SERVICE\CitrixBrokerService): Wählt die virtuellen Desktops oder Anwendungen aus, die Benutzern zur Verfügung stehen.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Zeichnet alle Konfigurationsänderungen und andere Statusänderungen auf, die von Administratoren an der Site vorgenommen wurden.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Site-weites Repository für gemeinsame Konfigurationen.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Verwaltet die Administratoren erteilten Berechtigungen.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Verwaltet Selbsttests der anderen Delivery Controller-Dienste.
  • Citrix Host Service (NT SERVICE\CitrixHostService): Speichert Informationen über die in einer Citrix Virtual Apps- oder Citrix Virtual Desktops-Bereitstellung verwendeten Hypervisor-Infrastrukturen und bietet auch Funktionen, die von der Konsole zum Auflisten von Ressourcen in einem Hypervisor-Pool verwendet werden.
  • Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Orchestriert die Erstellung von Desktop-VMs.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): Erfasst Metriken für Citrix Virtual Apps oder Citrix Virtual Desktops, speichert historische Informationen und bietet eine Abfrageschnittstelle für Fehlerbehebungs- und Berichterstellungstools.
  • Citrix Storefront Service (NT SERVICE\ CitrixStorefront): Unterstützt die Verwaltung von StoreFront. (Er ist nicht Teil der StoreFront-Komponente selbst.)
  • Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Unterstützt privilegierte Verwaltungsoperationen von StoreFront. (Er ist nicht Teil der StoreFront-Komponente selbst.)
  • Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Überträgt Konfigurationsdaten von der Haupt-Sitedatenbank in den lokalen Hostcache.
  • Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Wählt die virtuellen Desktops oder Anwendungen aus, die Benutzern zur Verfügung stehen, wenn die Haupt-Sitedatenbank nicht verfügbar ist.

Die Installation des Delivery Controllers erstellt auch die folgenden Windows-Dienste. Diese werden auch bei der Installation mit anderen Citrix-Komponenten erstellt:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Unterstützt die Erfassung von Diagnoseinformationen zur Verwendung durch den Citrix Support.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Erfasst Diagnoseinformationen zur Analyse durch Citrix, sodass die Analyseergebnisse und Empfehlungen von Administratoren eingesehen werden können, um Probleme mit der Site zu diagnostizieren.

Die Installation des Delivery Controllers erstellt auch den folgenden Windows-Dienst. Dieser wird derzeit nicht verwendet. Falls er aktiviert wurde, deaktivieren Sie ihn.

  • Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

Die Installation des Delivery Controllers erstellt auch die folgenden Windows-Dienste. Diese werden derzeit nicht verwendet, müssen aber aktiviert sein. Deaktivieren Sie sie nicht.

  • Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
  • Citrix Trust Service (NT SERVICE\CitrixTrust)

Mit Ausnahme des Citrix Storefront Privileged Administration Service erhalten diese Dienste das Anmelderecht „Als Dienst anmelden“ und die Berechtigungen „Arbeitsspeicher-Kontingente für einen Prozess anpassen“, „Sicherheitsüberwachungen generieren“ und „Prozess-Ebene-Token ersetzen“. Sie müssen diese Benutzerrechte nicht ändern. Diese Berechtigungen werden vom Delivery Controller nicht verwendet und sind automatisch deaktiviert.

Diensteinstellungen konfigurieren

Mit Ausnahme des Citrix Storefront Privileged Administration Service und des Citrix Telemetry Service sind die oben im Abschnitt Benutzerrechte konfigurieren aufgeführten Windows-Dienste des Delivery Controllers so konfiguriert, dass sie sich als Identität des NETZWERKDIENSTES anmelden. Ändern Sie diese Diensteinstellungen nicht.

Der Citrix Config Synchronizer Service benötigt, dass das NETWORK SERVICE-Konto zur Gruppe der lokalen Administratoren auf dem Delivery Controller gehört. Dies ermöglicht die korrekte Funktion des Local Host Cache.

Der Citrix Storefront Privileged Administration Service ist so konfiguriert, dass er sich als Lokales System (NT AUTHORITY\SYSTEM) anmeldet. Dies ist für Delivery Controller StoreFront-Vorgänge erforderlich, die normalerweise für Dienste nicht verfügbar sind (einschließlich der Erstellung von Microsoft IIS-Sites). Ändern Sie seine Diensteinstellungen nicht.

Der Citrix Telemetry Service ist so konfiguriert, dass er sich mit einer eigenen dienstspezifischen Identität anmeldet.

Sie können den Citrix Telemetry Service deaktivieren. Abgesehen von diesem Dienst und bereits deaktivierten Diensten dürfen Sie keine anderen dieser Delivery Controller Windows-Dienste deaktivieren.

Registrierungseinstellungen konfigurieren

Es ist nicht mehr notwendig, die Erstellung von 8.3-Dateinamen und -Ordnern auf dem VDA-Dateisystem zu aktivieren. Der Registrierungsschlüssel NtfsDisable8dot3NameCreation kann so konfiguriert werden, dass die Erstellung von 8.3-Dateinamen und -Ordnern deaktiviert wird. Sie können dies auch mit dem Befehl fsutil.exe behavior set disable8dot3 konfigurieren.

Sicherheitsauswirkungen von Bereitstellungsszenarien

Ihre Benutzerumgebung kann entweder Benutzergeräte enthalten, die von Ihrer Organisation nicht verwaltet werden und vollständig unter der Kontrolle des Benutzers stehen, oder Benutzergeräte, die von Ihrer Organisation verwaltet und administriert werden. Die Sicherheitsaspekte für diese beiden Umgebungen sind im Allgemeinen unterschiedlich.

Verwaltete Benutzergeräte

Verwaltete Benutzergeräte unterliegen der administrativen Kontrolle; sie stehen entweder unter Ihrer eigenen Kontrolle oder der Kontrolle einer anderen Organisation, der Sie vertrauen. Sie können Benutzergeräte direkt konfigurieren und an Benutzer liefern; alternativ können Sie Terminals bereitstellen, auf denen ein einzelner Desktop nur im Vollbildmodus ausgeführt wird. Befolgen Sie die oben beschriebenen allgemeinen Best Practices für die Sicherheit für alle verwalteten Benutzergeräte. Diese Version hat den Vorteil, dass nur minimale Software auf einem Benutzergerät erforderlich ist.

Ein verwaltetes Benutzergerät kann so konfiguriert werden, dass es im Vollbildmodus oder im Fenstermodus verwendet wird:

  • Nur-Vollbildmodus: Benutzer melden sich mit dem üblichen Windows-Anmeldebildschirm an. Dieselben Benutzeranmeldeinformationen werden dann verwendet, um sich automatisch bei dieser Version anzumelden.
  • Benutzer sehen ihren Desktop in einem Fenster: Benutzer melden sich zuerst am Benutzergerät an und melden sich dann über eine mit der Version bereitgestellte Website bei dieser Version an.

Nicht verwaltete Benutzergeräte

Benutzergeräte, die nicht von einer vertrauenswürdigen Organisation verwaltet und administriert werden, können nicht als unter administrativer Kontrolle stehend angenommen werden. Beispielsweise könnten Sie Benutzern erlauben, ihre eigenen Geräte zu beschaffen und zu konfigurieren, aber Benutzer befolgen möglicherweise nicht die oben beschriebenen allgemeinen Best Practices für die Sicherheit. Diese Version hat den Vorteil, dass es möglich ist, Desktops sicher an nicht verwaltete Benutzergeräte zu liefern. Diese Geräte sollten dennoch über einen grundlegenden Antivirenschutz verfügen, der Keylogger und ähnliche Eingabeangriffe abwehrt.

Überlegungen zur Datenspeicherung

Bei der Verwendung dieser Version können Sie Benutzer daran hindern, Daten auf Benutzergeräten zu speichern, die sich unter ihrer physischen Kontrolle befinden. Sie müssen jedoch weiterhin die Auswirkungen der Datenspeicherung von Benutzern auf Desktops berücksichtigen. Es ist keine gute Praxis für Benutzer, Daten auf Desktops zu speichern; Daten sollten auf Dateiservern, Datenbankservern oder anderen Repositories gespeichert werden, wo sie angemessen geschützt werden können.

Ihre Desktop-Umgebung kann aus verschiedenen Arten von Desktops bestehen, z. B. gepoolten und dedizierten Desktops. Benutzer sollten niemals Daten auf Desktops speichern, die von mehreren Benutzern gemeinsam genutzt werden, wie z. B. gepoolte Desktops. Wenn Benutzer Daten auf dedizierten Desktops speichern, sollten diese Daten entfernt werden, wenn der Desktop später anderen Benutzern zur Verfügung gestellt wird.

Umgebungen mit gemischten Versionen

Umgebungen mit gemischten Versionen sind bei einigen Upgrades unvermeidlich. Befolgen Sie Best Practices und minimieren Sie die Zeit, in der Citrix-Komponenten unterschiedlicher Versionen koexistieren. In Umgebungen mit gemischten Versionen wird die Sicherheitsrichtlinie beispielsweise möglicherweise nicht einheitlich durchgesetzt.

Hinweis:

Dies ist typisch für andere Softwareprodukte; die Verwendung einer früheren Version von Active Directory erzwingt die Gruppenrichtlinie bei späteren Windows-Versionen nur teilweise.

Das folgende Szenario beschreibt ein Sicherheitsproblem, das in einer bestimmten Citrix-Umgebung mit gemischten Versionen auftreten kann. Wenn Citrix Receiver 1.7 verwendet wird, um eine Verbindung zu einem virtuellen Desktop herzustellen, auf dem der VDA in XenApp und XenDesktop 7.6 Feature Pack 2 ausgeführt wird, ist die Richtlinieneinstellung Dateitransfer zwischen Desktop und Client zulassen in der Site aktiviert, kann aber nicht von einem Delivery Controller mit XenApp und XenDesktop 7.1 deaktiviert werden. Dieser erkennt die Richtlinieneinstellung nicht, die in der späteren Version des Produkts veröffentlicht wurde. Diese Richtlinieneinstellung ermöglicht Benutzern das Hoch- und Herunterladen von Dateien auf ihren virtuellen Desktop, was das Sicherheitsproblem darstellt. Um dies zu umgehen, aktualisieren Sie den Delivery Controller (oder eine eigenständige Instanz von Studio) auf Version 7.6 Feature Pack 2 und verwenden Sie dann die Gruppenrichtlinie, um die Richtlinieneinstellung zu deaktivieren. Alternativ können Sie die lokale Richtlinie auf allen betroffenen virtuellen Desktops verwenden.

Sicherheitsaspekte bei Remote PC Access

Remote PC Access implementiert die folgenden Sicherheitsfunktionen:

  • Die Verwendung von Smartcards wird unterstützt.
  • Wenn eine Remotesitzung verbunden wird, erscheint der Monitor des Büro-PCs leer.
  • Remote PC Access leitet alle Tastatur- und Mauseingaben an die Remotesitzung um, außer STRG+ALT+ENTF und USB-fähige Smartcards und biometrische Geräte.
  • SmoothRoaming wird nur für einen einzelnen Benutzer unterstützt.
  • Wenn ein Benutzer eine Remotesitzung mit einem Büro-PC verbunden hat, kann nur dieser Benutzer den lokalen Zugriff auf den Büro-PC wiederherstellen. Um den lokalen Zugriff wiederherzustellen, drückt der Benutzer Strg-Alt-Entf auf dem lokalen PC und meldet sich dann mit denselben Anmeldeinformationen an, die von der Remotesitzung verwendet wurden. Der Benutzer kann den lokalen Zugriff auch durch Einstecken einer Smartcard oder durch Nutzung biometrischer Daten wiederherstellen, sofern Ihr System über eine entsprechende Integration eines Drittanbieter-Anmeldeinformationsanbieters verfügt. Dieses Standardverhalten kann durch Aktivierung der schnellen Benutzerumschaltung über Gruppenrichtlinienobjekte (GPOs) oder durch Bearbeiten der Registrierung außer Kraft gesetzt werden.

Hinweis:

Citrix empfiehlt, VDA-Administratorrechte nicht an allgemeine Sitzungsbenutzer zu vergeben.

Automatische Zuweisungen

Standardmäßig unterstützt Remote PC Access die automatische Zuweisung mehrerer Benutzer zu einem VDA. In XenDesktop 5.6 Feature Pack 1 konnten Administratoren dieses Verhalten mithilfe des PowerShell-Skripts RemotePCAccess.ps1 außer Kraft setzen. Diese Version verwendet einen Registrierungseintrag, um mehrere automatische Remote-PC-Zuweisungen zuzulassen oder zu verbieten; diese Einstellung gilt für die gesamte Site.

Vorsicht:

Eine fehlerhafte Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.

So schränken Sie automatische Zuweisungen auf einen einzelnen Benutzer ein:

Legen Sie auf jedem Controller in der Site den folgenden Registrierungseintrag fest:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

Falls bereits Benutzer zugewiesen sind, entfernen Sie diese mit SDK-Befehlen, damit der VDA anschließend für eine einzelne automatische Zuweisung infrage kommt.

  • Entfernen Sie alle zugewiesenen Benutzer vom VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Entfernen Sie den VDA aus der Bereitstellungsgruppe: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Starten Sie den physischen Büro-PC neu.

XML-Vertrauensstellung

Die XML-Vertrauenseinstellung gilt für Bereitstellungen, die Folgendes verwenden:

  • Ein lokales StoreFront.
  • Eine Authentifizierungstechnologie für Abonnenten (Benutzer), die keine Kennwörter erfordert. Beispiele für solche Technologien sind Domänen-Passthrough, Smartcards, SAML und Veridium-Lösungen.

Durch Aktivieren der XML-Vertrauenseinstellung können sich Benutzer erfolgreich authentifizieren und anschließend Anwendungen starten. Der Delivery Controller vertraut den von StoreFront gesendeten Anmeldeinformationen. Aktivieren Sie diese Einstellung nur, wenn Sie die Kommunikation zwischen Ihren Delivery Controllern und StoreFront gesichert haben (mithilfe von Firewalls, IPsec oder anderen Sicherheitsempfehlungen).

Diese Einstellung ist standardmäßig deaktiviert.

Verwenden Sie das Citrix Virtual Apps and Desktops PowerShell SDK, um die XML-Vertrauenseinstellung zu überprüfen, zu aktivieren oder zu deaktivieren.

  • Um den aktuellen Wert der XML-Vertrauenseinstellung zu überprüfen, führen Sie Get-BrokerSite aus und prüfen Sie den Wert von TrustRequestsSentToTheXMLServicePort.
  • Um XML-Vertrauen zu aktivieren, führen Sie Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true aus.
  • Um XML-Vertrauen zu deaktivieren, führen Sie Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false aus.
Sicherheitsaspekte und Best Practices
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.