Verwenden von Windows-Profilen mit Password Manager und Single Sign-On

Der Abschnitt enthält keine spezifischen Informationen zur Profilverwaltung. Sie erfahren, wie Sie bestimmte Windows-Optionen konfigurieren, damit Citrix Single Sign-On optimal mit lokalen Profilen, Roamingprofilen, verbindlichen Profilen oder Hybridprofilen funktioniert. Dieser Abschnitt gilt für Citrix Single Sign-On 4.8 oder 5.0.

Lokale Profile

Lokale Profile werden auf dem lokalen Server gespeichert, an dem der Benutzer angemeldet ist. Password Manager und Single Sign-On speichern Registrierungsinformationen in der Struktur HKCU\Software\Citrix\MetaFrame Password Manager der Benutzerregistrierung unter:

%SystemDrive%\Dokumente und Einstellungen\%username%\NTUSER.DAT.

Dateien werden auch an diesem Speicherort gespeichert:

%SystemDrive%\Dokumente und Einstellungen\%username%\Anwendungsdaten\Citrix\MetaFrame Password Manager.

Unter Windows 7 verwendet Single Sign-On:

%APPDATA%\Roaming\Citrix\MetaFrame Password Manager

Wichtig: Es ist wichtig, dass Single Sign-On Vollzugriff auf die folgenden Dateien hat:

Dateiname Beschreibung
%username%.mmf Datei mit den Anmeldeinformationen des Benutzers und Verweisen auf die Datei aelist.ini.
entlist.ini Eine auf der Unternehmensebene im Synchronisierungspunkt oder Active Directory erstellte Anwendungsdefinitionsdatei.
aelist.ini Eine Anwendungsdefinitionsdatei, die durch Zusammenführen der lokalen Anwendungsdefinitionsdatei des Benutzers (applist.ini) und den Anwendungsdefinitionen des Unternehmens (entlist.ini) erstellt wird.

Roamingprofile

Roamingprofile werden auf einer Netzwerkfreigabe gespeichert und bei jeder Anmeldung des Benutzers mit einer lokalen Kopie auf dem Server synchronisiert. Zu den Merkmalen einer erfolgreichen Bereitstellung von Roamingprofilen gehört eine Hochgeschwindigkeitsnetzwerkverbindung, z. B. ein SAN (Systembereichsnetzwerk) oder NAS (Netzwerkbereichsspeicherung). Andere gängige Bereitstellungen umfassen Clusterlösungen, bei denen die Profile auf Servern mit hoher Verfügbarkeit gespeichert werden.

Zwei Probleme wirken sich auf Bereitstellungen von Roaming- und verbindlichen Profilen aus:

  • Ein Roamingprofil kann nur mit einem Dateisynchronisierungspunkt verwendet werden. Wenn mehrere Synchronisierungspunkte verwendet werden, können Daten in der im Speicher abgebildeten Datei (MMF) beschädigt werden.
  • Wenn Roamingprofile in mehreren gleichzeitigen Sitzungen verwendet werden, verwenden sie die gleiche Back-End-MMF. Alle aktiven Sitzungen verwenden einige Sitzungsdaten gemeinsam, z. B. die Leistungsindikatoren für die Wiederholungssperre, die zuletzt verwendeten Daten und die Einträge im Ereignisprotokoll.

Verbindliche Profile oder Hybridprofile

Für verbindliche Benutzerprofile hat der Benutzer immer nur Leserechte. Single Sign-On benötigt Schreibrechte für den Profilordner unter den Anwendungsdaten. Der Benutzer kann verbindliche Profile ändern, die Änderungen werden jedoch bei der Abmeldung nicht im Profil gespeichert. Für das richtige Funktionieren von Single Sign-On mit verbindlichen Profilen muss der Ordner “Anwendungsdaten” umgeleitet werden.

Die Registrierungsänderungen werden bei jeder Anmeldung des Benutzers geschrieben. Anmeldeinformationen werden mit dem Synchronisierungspunkt synchronisiert, die Änderungen werden jedoch nicht im Profil gespeichert.

Ab Windows 2000 stellt Microsoft eine Methode zum Umleiten des Anwendungsdatenordners bereit. In Windows NT4-Domänen sind jedoch Anmeldeskripts erforderlich, die den Speicherort des Anwendungsdatenordners ändern können. Verwenden Sie Tools wie Kix oder VBScript, um einen Speicherort für den Anwendungsdatenordner zu definieren, der Schreibvorgänge zulässt.

Im folgenden Beispiel wird Kix verwendet, um den Anwendungsdatenordner bei der Anmeldung des Benutzers umzuleiten:

Wichtig: Dieses Beispielskript dient nur zu Informationszwecken und sollte nicht in Ihrer Umgebung verwendet werden, ohne es zuvor getestet zu haben.

``` pre codeblock

$LogonServer = “%LOGONSERVER%” $HKCU = “HKEY_CURRENT_USER” $ShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders” $UserShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders” $UserProfFolder = “$LogonServer\profiles@userID” $UserAppData = “$LogonServer\profiles@userID\Application Data” $UserDesktop = “$LogonServer\profiles@userID\Desktop” $UserFavorites = “$LogonServer\profiles@userID\Favorites” $UserPersonal = “X:\My Documents” $UserRecent = “$LogonServer\profiles@userID\Recent” if (exist(“$UserAppData”) = 0) shell ‘%ComSpec% /c md “$UserAppData”’ endif if (exist(“$UserDesktop”) = 0) shell ‘%ComSpec% /c md “$UserDesktop”’ endif if (exist(“$UserRecent”) = 0) shell ‘%ComSpec% /c md “$UserRecent”’ endif if (exist(“$UserFavorites”) = 0) shell ‘%ComSpec% /c md “$UserFavorites”’ endif ```

Das Hybridprofil ist eine weitere Lösung für das Problem beim verbindlichen Profil. Bei der Anmeldung des Benutzers wird das verbindliche Profil geladen und eine benutzerdefinierte Anwendung lädt und entlädt Registrierungsstrukturen des Benutzers basierend auf den Anwendungen, die dem Benutzer zur Verfügung stehen. Der Benutzer kann (wie bei einem verbindlichen Profil) diese Teile der Registrierung in der Sitzung ändern. Der große Unterschied zu den verbindlichen Profilen ist, dass die Änderungen bei der Abmeldung des Benutzers gespeichert und bei der nächsten Anmeldung des Benutzers wieder geladen werden.

Wenn Sie Hybridprofile verwenden, muss der Registrierungsschlüssel HKEY_CURRENT_USER\Software\Citrix\MetaFrame Password bei der An- und Abmeldung importiert und exportiert werden.

Ordnerumleitung

Die Ordnerumleitung wird mit Gruppenrichtlinienobjekten und Active Directory implementiert. Bei der Ordnerumleitung wird mit Gruppenrichtlinien ein Speicherort für Ordner definiert, der Teil des Benutzerprofils ist.

Vier Ordner können umgeleitet werden:

  • Dokumente
  • Anwendungsdaten
  • Desktop
  • Startmenü

Zwei Typen der Umleitung können mit Gruppenrichtlinien konfiguriert werden: einfache Umleitung und erweiterte Umleitung. Beide werden von Single Sign-On unterstützt. Unter Windows 2000 sollte auf die Freigabe, auf der Anwendungsdaten gespeichert sind, mit der Variablen des Benutzernamens verwiesen werden, beispielsweise: \\Servername\Freigabename\%username%.

Die Ordnerumleitung ist für den Benutzer global und wirkt sich auf alle Anwendungen des Benutzers aus. Alle Anwendungen, die den Anwendungsdatenordner verwenden, müssen die Ordnerumleitung unterstützen.

In den folgenden Microsoft Artikeln finden Sie weitere Informationen zur Ordnerumleitung:

HOW TO: Dynamically Create Secure Redirected Folders By Using Folder Redirections

Folder Redirection Feature in Windows

Enabling the Administrator to Have Access to Redirected Folders

Bewährte Methoden

  • Leiten Sie Anwendungsdatenordner um, wenn dies möglich ist. Dies verbessert die Netzwerkleistung und die Daten müssen nicht bei jeder Benutzeranmeldung kopiert werden.
  • Prüfen Sie bei der Behebung von Fehlern bei Password Manager Agent immer, ob der angemeldete Benutzer vollständige Berechtigungen für den Anwendungsdatenordner hat.

Verwenden von Windows-Profilen mit Password Manager und Single Sign-On