Product Documentation

Konfigurieren von Receiver mit der Gruppenrichtlinienobjektvorlage

Dec 21, 2015

Citrix empfiehlt Regeln für das Netzwerkrouting, für die Proxyserver und für die vertrauenswürdige Serverkonfiguration, für das Benutzerrouting, für die Remoteclientgeräte und die Benutzererfahrung mit der Gruppenrichtlinienobjektvorlage icaclient.adm zu konfigurieren.

Sie können die Vorlagendatei icaclient.adm für Domänenrichtlinien und lokale Computerrichtlinien verwenden. Importieren Sie die Vorlagendatei für Domänenrichtlinien mit der Gruppenrichtlinien-Verwaltungskonsole. Dies ist besonders nützlich, wenn Sie Receiver-Einstellungen auf mehrere verschiedene Benutzergeräte im Unternehmen anwenden möchten. Wenn Sie nur ein einziges Benutzergerät bearbeiten möchten, importieren Sie die Vorlagendatei mit dem lokalen Gruppenrichtlinien-Editor auf dem Gerät.

Hinzufügen oder Angeben von Stores mit einem Gruppenrichtlinienobjekt:

  1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vom Startmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie Domänenrichtlinien anwenden.

    Hinweis: Wenn Sie die icaclient-Vorlage bereits dem Gruppenrichtlinien-Editor hinzugefügt haben, können Sie die Schritte 2 bis 5 überspringen.

  2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner "Administrative Vorlagen" aus.
  3. Klicken Sie im Menü "Aktion" auf "Vorlagen hinzufügen/entfernen".
  4. Klicken Sie auf "Hinzufügen", navigieren Sie zum Konfigurationsordner für Receiver (für 32-Bit-Maschinen üblicherweise C:\Programme\Citrix\ICA Client\Configuration, für 64-Bit-Maschinen üblicherweise C:\Programme (x86)\Citrix\ICA Client\Configuration), und wählen Sie icaclient.adm aus.
  5. Klicken Sie auf "Öffnen", um die Vorlage hinzuzufügen, und klicken Sie dann auf "Schließen", um zum Gruppenrichtlinien-Editor zurückzukehren.
  6. Navigieren Sie unter dem Knoten "Computerkonfiguration" zu "Administrative Vorlagen" > "Klassische administrative Vorlagen (ADM)" > "Citrix-Komponenten" > "Citrix Receiver" > "StoreFront" und wählen Sie "StoreFront-Kontenliste".
  7. Bearbeiten Sie die Einstellungen. Verwenden Sie die Informationen im nächsten Schritt, um Konten hinzuzufügen oder anzugeben.
  8. Geben Sie eine Liste mit StoreFront-Konten ein. Geben Sie für jeden Eintrag die folgenden Informationen durch Semikolons getrennt ein:
    • Storename: Der Name, der dem Benutzer für diesen Store angezeigt wird.
    • Store-URL: Die URL des Stores.
    • Storeaktivierungszustand: Aktiviert (On) oder Deaktiviert (Off).
    • Store-Beschreibung: Die Beschreibung, die dem Benutzer für diesen Store angezeigt wird.

    Beispiel: SalesStore;https://sales.example.com/Citrix/Store/discovery;On;Store für Vertriebsmitarbeiter

Info zur ADMX-Vorlage

Mit den Releases StoreFront 3.0 und Citrix Receiver 4.3 bieten Citrix XenApp und XenDesktop Unterstützung für Microsofts neues Format zum Anzeigen von registrierungsbasierten Richtlinieneinstellungen mit einem standardbasierten XML-Dateiformat, den sogenannten ADMX-Dateien.

Hinweis: Weitere Informationen finden Sie in diesem Microsoft MSDN-Artikel zum Verwalten von ADMX-Dateien.

Auf Windows Vista, Windows Server 2008 und höher ersetzen diese neuen Dateien ADM-Dateien, die eine eigene Markupsprache verwendeten. ADM-Dateien sind jedoch weiterhin für Windows XP Embedded-Plattformen verfügbar. Die Verwaltungstools, d. h. der Gruppenrichtlinienobjekt-Editor und die Gruppenrichtlinien-Verwaltungskonsole, bleiben größtenteils unverändert. Während Ihrer täglichen Gruppenrichtlinien-Verwaltungsaufgaben werden Ihnen die ADMX-Dateien kaum weiter auffallen.

Die neuen ADMX-Dateien haben den großen Vorteil, über den zentralen Speicher bereitgestellt werden zu können. Diese Option ist verfügbar, wenn Sie domänenbasierte Gruppenrichtlinienobjekte verwalten, allerdings wird der zentrale Speicher nicht standardmäßig verwendet. Anders als ADM-Dateien kopiert der Gruppenrichtlinienobjekt-Editor ADMX-Dateien nicht in jedes bearbeitete Gruppenrichtlinienobjekt, sondern ermöglicht das Lesen von einem einzelnen Speicherort auf Domänenebene auf dem Domänencontroller sysvol (nicht durch Benutzer konfigurierbar) oder von der lokalen Verwaltungsarbeitsstation, wenn der zentrale Speicher nicht verfügbar ist. Sie können eine benutzerdefinierte ADMX-Datei freigeben, indem Sie die Datei in den zentralen Speicher kopieren, wodurch sie automatisch für alle Gruppenrichtlinienadministratoren in einer Domäne verfügbar ist. Diese Funktion vereinfacht die Richtlinienverwaltung und verbessert die Speicheroptimierung für Gruppenrichtlinienobjektdateien.

Bei den ADMX-Dateien wird zwischen sprachneutralen (ADMX) und sprachspezifischen (ADML) Ressourcen unterschieden, die allen Gruppenrichtlinienadministratoren zur Verfügung stehen. Durch diese Faktoren können Gruppenrichtlinientools ihre Benutzeroberfläche entsprechend der konfigurierten Sprache des Administrators anpassen.

ADMX- und ADML-Dateinamen und Speicherorte

Die Namenskonvention für ADM-Dateien (siehe vorherige Version von Receiver) wurde verbessert. In der Tabelle unten sind die ADM-Dateien den neuen ADMX-Dateinamen zugeordnet:

Citrix Receiver-Version (vor 4.3)

Citrix Receiver-Version (4.3 und höher)

Icaclient.adm

receiver.admx \ receiver.adm

Icaclient_usb.adm

receiver_usb.admx \ receiver_usb.adm

ica-file-signing.adm

ica-file-signing.admx \ ica-file-signing.admx

HdxFlash-Client.adm

HdxFlash-Client.admx \ HdxFlash-Client.admx

Hinweis: Verwenden Sie ADMX-Dateien auf Windows Vista/Windows Server 2008 und höher; verwenden Sie ADM-Dateien für andere Plattformen.

Sie können mit dem Citrix Receiver-Installationsprogramm bereitgestellte benutzerdefinierte ADMX- und ADML-Dateien in den zentralen Speicher kopieren, wodurch sie automatisch für alle Gruppenrichtlinienadministratoren einer Domäne verfügbar sind. In der Tabelle unten sind die Speicherorte aufgeführt, in die Sie die ADMX- und ADML-Dateien kopieren müssen:

Dateityp

Dateispeicherort

receiver.admx

\ICA Client\Configuration

ica-file-signing.admx

\ICA Client\Configuration

receiver_usb.admx

\ICA Client\Configuration\en

HdxFlash-Client.admx

\ICA Client\Configuration

receiver.adml

\ICA Client\Configuration

ica-file-signing.adml

\ICA Client\Configuration

receiver_usb.adml

\ICA Client\Configuration\en

HdxFlash-Client.adml

\ICA Client\Configuration\[MUIculture]

Hinweis: Wenn Receiver während der VDA-Installation konfiguriert wurde, sind die ADMX-/ADML-Dateien im Installationsverzeichnis. Beispiel: \online plugin\Configuration.

Receiver-Konfiguration mit der Gruppenrichtlinienobjektvorlage

Citrix empfiehlt, Regeln für die folgenden Receiver-Features mit Gruppenrichtlinienobjekt-Vorlagendateien zu konfigurieren.

  • Clientengine
  • Programm zur Verbesserung der Benutzerfreundlichkeit (CEIP)
  • Diagnose
  • API-Unterstützung für Fast Connect
  • HDX MediaStream Flash-Umleitung - Client
  • ICA-Dateisignierung
  • Multistream-ICA
  • Netzwerkrouting
  • Remoting für Generic USB- und Benutzergeräte
  • Self-Service
  • StoreFront
  • Benutzerauthentifizierung
  • Benutzererfahrung

Sie können Vorlagendateien zum Konfigurieren von lokalen GPO und domänenbasierten GPO verwenden. Weitere Informationen finden Sie in der TechNet-Bibliothek in den Artikeln Editing the Local GPO Using ADMX Files und Editing Domain-Based GPOs Using ADMX Files.

Nach dem Import der ADMX-Dateien finden Sie Gruppenrichtlinieneinstellungen für Receiver in den folgenden Speicherorten:

  • Computerkonfiguration>Administrative Vorlagen>Citrix Komponenten
  • Computerkonfiguration>Administrative Vorlagen>HDX MediaStream Flash-Umleitung - Client
Hinweis: Citrix empfiehlt, dass Sie die GPO-Vorlagendateien verwenden, die mit der aktuellen Version von Citrix Receiver bereitgestellt werden. Beim Import der aktuellen Dateien werden die vorherigen Einstellungen beibehalten.
 
In der Abbildung unten sind die Komponenten dargestellt:
localized image

Info zu TLS und Gruppenrichtlinien

Diese Richtlinie ermöglicht das Konfigurieren der TLS-Optionen, sodass Citrix Receiver den Server für die Verbindung sicher identifizieren kann, und sie ermöglicht die Verschlüsselung der gesamten Kommunikation mit dem Server.  Citrix empfiehlt, für Verbindungen über nicht vertrauenswürdige Netzwerke TLS zu verwenden. Citrix unterstützt die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2 für Verbindungen zwischen Receiver und XenApp oder XenDesktop.

Bei aktivierter Richtlinie können Sie erzwingen, dass Receiver TLS für alle Verbindungen mit veröffentlichten Anwendungen und Desktops verwendet, indem Sie das Kontrollkästchen "Require SSL for all connections" aktivieren.

Receiver identifiziert den Server nach dem Namen auf dem Sicherheitszertifikat, das der Server präsentiert.  Das Format ist ein DNS-Name (z. B. www.citrix.com).  Sie können Receiver auf Verbindungen mit bestimmten Servern einschränken, indem Sie die Server in der Einstellung "Allowed SSL servers" in einer durch Kommas getrennten Liste angeben.  Platzhalter und Portnummern können hier angegeben werden: z. B. ermöglicht *.citrix.com:4433 die Verbindung mit allen Servern auf Port 4433, deren allgemeiner Name mit .citrix.com endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt.  Wenn Receiver den Aussteller des Zertifikats nicht erkennt und ihm nicht traut, wird die Verbindung abgelehnt.

Bei Verbindungen über TLS kann die Konfiguration des Servers erfordern, dass Receiver sich durch ein Sicherheitszertifikat selbst identifiziert.  Mit der Einstellung 'Clientauthentifizierung' können Sie festlegen, ob die Identifikation automatisch erfolgt oder ob der Benutzer benachrichtigt wird.  Die folgenden Optionen sind verfügbar:

  • Identifikation nie bereitstellen
  • nur das hier konfigurierte Zertifikat verwenden
  • Benutzer immer zum Auswählen eines Zertifikats auffordern
  • Benutzer nur auffordern, wenn mehrere Zertifikate zur Auswahl stehen

Hinweis: Verwenden Sie die Einstellung "Client Certificate", um den Fingerabdruck des identifizierenden Zertifikats anzugeben, damit Benutzer nicht unnötig aufgefordert werden.

Für die Überprüfung des Sicherheitszertifikats des Servers können Sie das Plug-In so konfigurieren, dass es vom Aussteller des Zertifikats eine Certificate Revocation List (CRL) abruft, um sicherzustellen, dass das Zertifikat nicht gesperrt wurde.  So kann ein Zertifikat durch den Aussteller für ungültig erklärt werden, sollte ein System kompromittiert werden.  Mit der Einstellung "CRL verification" können Sie folgende Aktionen für das Plug-In konfigurieren:

  • CRLs nicht überprüfen
  • nur CRLs überprüfen, die zuvor von dem Aussteller abgerufen wurden
  • aktuelle CRL aktiv abrufen
  • Verbindung ablehnen, wenn keine aktuelle CRL abgerufen werden kann

Organisationen, die TLS für eine Reihe von Produkten konfigurieren, können Server, die für Citrix Plug-Ins bestimmt sind, durch Angabe einer Zertifikatrichtlinien-OID als Teil des Sicherheitszertifikats identifizieren.  Wenn hier eine Richtlinien-OID konfiguriert wird, akzeptiert Receiver nur Zertifikate, die eine kompatible Richtlinie deklarieren.

Einige Sicherheitsrichtlinien haben Anforderungen für die kryptographischen Algorithmen, die für eine Verbindung verwendet werden.  Mit der Einstellung "TLS version" können Sie die Plug-Ins auf die Verwendung von TLS v1.0, TLS 1.1 und TLS 1.2 beschränken.  Sie können das Plug-In auch auf die Verwendung von bestimmten kryptographischen Verschlüsselungssammlungen beschränken. Die Verschlüsselungssammlungen umfassen Folgende:

Verschlüsselungssammlungen für Behörden:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384

Kommerzielle Verschlüsselungssammlungen:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_AES_128_GCM_SHA256