Session Recording

Konfigurieren von Richtlinien für die Sitzungsaufzeichnung

Sie können systemdefinierte Aufzeichnungsrichtlinien aktivieren oder eigene Aufzeichnungsrichtlinien erstellen und aktivieren. Systemdefinierte Aufzeichnungsrichtlinien wenden eine einzige Regel auf ganze Sitzungen an. Benutzerdefinierte Aufzeichnungsrichtlinien legen fest, welche Sitzungen aufgezeichnet werden.  

Die aktive Aufzeichnungsrichtlinie legt fest, welche Sitzungen aufgezeichnet werden. Nur jeweils eine Aufzeichnungsrichtlinie ist aktiv.

Systemdefinierte Aufzeichnungsrichtlinien

Die Sitzungsaufzeichnung bietet die folgenden systemdefinierten Aufzeichnungsrichtlinien:

  • Nicht aufzeichnen. Die Standardrichtlinie. Wenn Sie keine andere Richtlinie festlegen, wird keine Sitzung aufgezeichnet.

  • Nur Ereignisse aufzeichnen (für alle, mit Benachrichtigung). Diese Richtlinie zeichnet nur Ereignisse auf, die Ihre Ereigniserkennungsrichtlinie angibt. Es zeichnet nicht den Bildschirm auf. Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen.

  • Nur Ereignisse aufzeichnen (für alle, ohne Benachrichtigung). Diese Richtlinie zeichnet nur Ereignisse auf, die Ihre Ereigniserkennungsrichtlinie angibt. Es zeichnet nicht den Bildschirm auf. Benutzer erhalten keine Aufzeichnungsbenachrichtigungen.

  • Ganze Sitzungen aufzeichnen (für alle, mit Benachrichtigung). Diese Richtlinie zeichnet ganze Sitzungen (Bildschirme und Ereignisse) auf. Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen.

  • Ganze Sitzungen aufzeichnen (für alle, ohne Benachrichtigung). Diese Richtlinie zeichnet ganze Sitzungen (Bildschirme und Ereignisse) auf. Benutzer erhalten keine Aufzeichnungsbenachrichtigungen.

Sie können die systemdefinierten Aufzeichnungsrichtlinien nicht ändern oder löschen.

Erstellen einer benutzerdefinierten Aufzeichnungsrichtlinie

Sie können die Sitzungen von bestimmten Benutzern oder Gruppen, veröffentlichten Anwendungen oder Desktops, Bereitstellungsgruppen oder VDAs sowie Client-IP-Adressen der Citrix Workspace-App aufzeichnen. Ein Assistent in der Richtlinienkonsole für die Sitzungsaufzeichnung unterstützt Sie beim Erstellen der Regeln. Zum Abrufen der Liste der veröffentlichten Anwendungen oder Desktops sowie Bereitstellungsgruppen oder VDAs ist eine Leseberechtigung als Siteadministrator erforderlich. Konfigurieren Sie die Administrator-Leseberechtigung auf dem Delivery Controller der Site.

Für jede erstellte Regel geben Sie eine Aufzeichnungsaktion und Regelkriterien an. Die Aufzeichnungsaktion gilt für Sitzungen, die das Regelkriterium erfüllen.

Wählen Sie für jede Regel eine Aufzeichnungsaktion aus:

  • Sitzungsaufzeichnung mit Benachrichtigung aktivieren. Diese Option zeichnet ganze Sitzungen (Bildschirme und Ereignisse) auf. Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen.

  • Sitzungsaufzeichnung ohne Benachrichtigung aktivieren. Diese Option zeichnet ganze Sitzungen (Bildschirme und Ereignisse) auf. Benutzer erhalten keine Aufzeichnungsbenachrichtigungen.

  • Nur Ereignis für Sitzungsaufzeichnung aktivieren, mit Benachrichtigung. Diese Option zeichnet in Sitzungen nur Ereignisse auf, die Ihre Ereigniserkennungsrichtlinie angibt. Es zeichnet nicht den Bildschirm auf. Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen.

  • Nur Ereignis für Sitzungsaufzeichnung aktivieren, keine Benachrichtigung. Diese Option zeichnet in Sitzungen nur Ereignisse auf, die Ihre Ereigniserkennungsrichtlinie angibt. Es zeichnet nicht den Bildschirm auf. Benutzer erhalten keine Aufzeichnungsbenachrichtigungen.

  • Sitzungsaufzeichnung deaktivieren. Diese Option bedeutet, dass keine Sitzungen aufgezeichnet werden.

    Aufzeichnungsaktionsoptionen

Wählen Sie für jede Regel mindestens eines der folgenden Elemente, um ein Regelkriterium zu erstellen:

  • Benutzer oder Gruppen. Erstellt eine Liste der Benutzer oder Gruppen, für die die Aktion der Regel gilt. Sie können in der Sitzungsaufzeichnung Active Directory-Gruppen und Positivlisten für Benutzer verwenden.
  • Veröffentlichte Anwendungen oder Desktops. Erstellt eine Liste der veröffentlichten Anwendungen oder Desktops, für die die Aktion der Regel gilt. Wählen Sie im Assistenten für Regeln die Citrix Virtual Apps and Desktops-Sites oder DaaS-Sites (ehemals Citrix Virtual Apps and Desktops Service) aus, auf denen die Anwendungen bzw. Desktops verfügbar sind.
  • Bereitstellungsgruppen oder Maschinen. Erstellt eine Liste der Bereitstellungsgruppen oder Maschinen, für die die Aktion der Regel gilt. Wählen Sie im Assistenten für Regeln den Speicherort der Bereitstellungsgruppen oder Maschinen.
  • IP-Adresse oder IP-Bereich. Erstellt eine Liste von IP-Adressen oder IP-Adressbereichen, für die die Aktion der Regel gilt. Fügen Sie auf dem Bildschirm IP-Adresse und IP-Bereich auswählen eine gültige IP-Adresse oder einen IP-Adressbereich hinzu, für die bzw. den die Aufzeichnung aktiviert oder deaktiviert werden soll. Bei den hier genannten IP-Adressen handelt es sich um die IP-Adressen der Citrix Workspace-Apps.

    Aufzeichnungsregelkriterien

Hinweis:

Die Richtlinienkonsole für die Sitzungsaufzeichnung unterstützt das Konfigurieren mehrerer Kriterien innerhalb einer Regel. Ist eine Regel anwendbar, werden zum Berechnen der endgültigen Aktion die logischen Operatoren “AND” und “OR” verwendet. Dabei wird der Operator “OR” meist zwischen Elementen innerhalb eines Kriteriums verwendet, während der Operator “AND” zwischen separaten Kriterien zum Einsatz kommt. Wenn das Ergebnis “true” ist, führt die Engine für die Sitzungsaufzeichnungsrichtlinie die Regelaktion aus. Ansonsten wird die nächste Regel aufgerufen und der Prozess wird wiederholt.

Wenn Sie mehrere Regeln in einer Aufzeichnungsrichtlinie erstellen, können einige Sitzungen die Kriterien für mehrere Regeln erfüllen. In diesen Situationen wird die Regel mit der höchsten Priorität auf die Sitzungen angewendet.

Die Aufzeichnungsaktion einer Regel legt die Priorität fest:

  • Regeln mit der Aktion Sitzungsaufzeichnung deaktivieren haben die höchste Priorität.
  • Regeln mit der Aktion Sitzungsaufzeichnung mit Benachrichtigung aktivieren haben die zweithöchste Priorität.
  • Regeln mit der Aktion Sitzungsaufzeichnung ohne Benachrichtigung aktivieren haben die zweitniedrigste Priorität.
  • Regeln mit der Aktion Nur Ereignis für Sitzungsaufzeichnung aktivieren, keine Benachrichtigung haben die mittlere Priorität.
  • Regeln mit der Aktion Nur Ereignis für Sitzungsaufzeichnung aktivieren, keine Benachrichtigung haben die niedrigste Priorität.

Einige Sitzungen erfüllen ggf. kein Regelkriterium in einer Aufzeichnungsrichtlinie. Für diese Sitzungen gilt die Aktion der Fallbackregel der Richtlinie. Die Aktion der Fallbackregel ist immer Nicht aufzeichnen. Sie können die Fallbackregel nicht ändern oder löschen.

Erstellen einer benutzerdefinierten Aufzeichnungsrichtlinie:

  1. Melden Sie sich als autorisierter Richtlinienadministrator bei dem Server an, auf dem die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist.
  2. Starten Sie die Richtlinienkonsole für die Sitzungsaufzeichnung und wählen Sie links Aufzeichnungsrichtlinien. Wählen Sie in der Menüleiste Neue Richtlinie hinzufügen.
  3. Klicken Sie mit der rechten Maustaste auf Neue Richtlinie und wählen Sie Neue Regel hinzufügen.
  4. Wählen Sie im Regelassistenten die eine Aufzeichnungsoption und klicken Sie auf Weiter.

    Aufzeichnungsaktionsoptionen

  5. Regelkriterien - Sie können ein oder mehrere Regelkriterien wählen:
    Benutzer oder Gruppen
    Veröffentlichte Anwendungen oder Desktops
    Bereitstellungsgruppen oder Maschinen
    IP-Adresse oder IP-Bereich 

    Aufzeichnungsregelkriterien

  6. Regelkriterium bearbeiten: Klicken Sie zum Bearbeiten auf die unterstrichenen Werte. Welche Werte unterstrichen sind, hängt von den Kriterien ab, die Sie im vorherigen Schritt ausgewählt haben.

    Hinweis:

    Bei Auswahl der Option Veröffentlichte Anwendungen oder Desktops ist die Siteadresse die IP-Adresse, eine URL oder ein Maschinenname, wenn der Controller in einem lokalen Netzwerk ist. Die Liste Name der Anwendung enthält den Anzeigenamen.

    Wenn Sie Veröffentlichte Anwendungen oder Desktops oder Bereitstellungsgruppen oder Maschinen wählen, geben Sie den Delivery Controller an, mit dem die Richtlinienkonsole für die Sitzungsaufzeichnung kommunizieren soll.

    Die Richtlinienkonsole für die Sitzungsaufzeichnung ist die einzige Methode für die Kommunikation mit Delivery Controllern in Citrix Cloud- und On-Premises-Umgebungen.

    Auswählen von Regelkriterien

    Beispiel: Klicken Sie für Bereitstellungsgruppen oder Maschinen in Schritt 3 auf den entsprechenden Hyperlink wie im Screenshot oben, und klicken Sie auf Hinzufügen, um dem Controller Abfragen hinzuzufügen.

    Erstellen einer Anfrage an den Controller

    Eine Beschreibung der Anwendungsfälle für On-Premises und Citrix Cloud Delivery Controller finden Sie in der folgenden Tabelle:

    Anwendungsfall Erforderliche Aktion
    On-Premises Delivery Controller
    1. Installieren Sie Broker_PowerShellSnapIn_x64.msi. 2. Deaktivieren Sie das Kontrollkästchen Citrix Cloud Controller.
    Citrix Cloud Delivery Controller
    1. Installieren Sie das Citrix DaaS Remote PowerShell SDK. 2. Überprüfen Sie die Anmeldeinformationen des Citrix Cloud-Kontos. 3. Aktivieren Sie das Kontrollkästchen Citrix Cloud Controller.
    Wechseln von einem On-Premises-Delivery Controller zu einem Citrix Cloud Delivery Controller
    1. Deinstallieren Sie Broker_PowerShellSnapIn_x64.msi und starten Sie die Maschine neu. 2. Installieren Sie das Citrix DaaS Remote PowerShell SDK. 3. Überprüfen Sie die Anmeldeinformationen des Citrix Cloud-Kontos. 4. Aktivieren Sie das Kontrollkästchen Citrix Cloud Controller.
    Wechseln von einem Citrix Cloud -Delivery Controller zu einem On-Premises-Delivery Controller
    1. Deinstallieren Sie das Citrix DaaS Remote PowerShell SDK und starten Sie die Maschine neu. 2. Installieren Sie Broker_PowerShellSnapIn_x64.msi. 3. Deaktivieren Sie das Kontrollkästchen Citrix Cloud Controller.

    Überprüfen der Anmeldeinformationen des Citrix Cloud-Kontos

    Für Abfragen an Delivery Controller, die in Citrix Cloud gehostet werden, validieren Sie Ihre Citrix Cloud-Anmeldeinformationen auf der Maschine, auf der die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist. Sonst kann zu einem Fehler kommen und die Richtlinienkonsole für die Sitzungsaufzeichnung funktioniert möglicherweise nicht wie erwartet.

    Ausführen einer manuellen Überprüfung:

    1. Melden Sie sich an der Citrix Cloud-Konsole an und navigieren Sie zu Identitäts- und Zugriffsverwaltung > API-Zugriff. Erstellen Sie einen API-Zugriff Secure Client, um ein Authentifizierungsprofil zu erhalten, das die Citrix Cloud-Authentifizierungsaufforderungen umgehen kann. Laden Sie Ihren Secure Client herunter, benennen Sie ihn um und speichern Sie ihn an einem sicheren Ort. Der Dateiname wird standardmäßig auf secureclient.csv gesetzt.

      Überprüfen der Citrix Cloud-Anmeldeinformationen

    2. Öffnen Sie eine PowerShell-Sitzung und führen Sie den folgenden Befehl aus, damit das im vorherigen Schritt erhaltene Authentifizierungsprofil wirksam wird.

      asnp citrix.*
      Set-XDCredentials -CustomerId “citrixdemo” -SecureClientFile “c:\temp\secureclient.csv” -ProfileType CloudAPI –StoreAs “default”
      
      <!--NeedCopy-->
      

      Legen Sie CustomerID und SecureClientFile nach Bedarf fest. Mit dem voranstehenden Befehl wird ein Standardauthentifizierungsprofil für den Kunden citrixdemo erstellt, um Authentifizierungsaufforderungen in den aktuellen und allen nachfolgenden PowerShell-Sitzungen zu umgehen.

  7. Folgen Sie dem Assistenten, um die Konfiguration abzuschließen.

Hinweis: Einschränkung für vorab gestartete Anwendungssitzungen:

  • Wenn die aktive Richtlinie versucht, den Anwendungsnamen zuzuordnen, kann sie die Anwendungen, die in der vorab gestarteten Sitzung gestartet wurden, nicht zuordnen. Die vorab gestartete Sitzung kann dann nicht aufgezeichnet werden.
  • Wenn die aktive Richtlinie jede Anwendung aufzeichnet, wird bei aktiviertem Sitzungsvorabstart eine Aufzeichnungsbenachrichtigung angezeigt, wenn ein Benutzer sich bei der Citrix Workspace-App für Windows anmeldet. Die vorab gestartete (leere) Sitzung und alle Anwendungen, die ab diesem Zeitpunkt in der Sitzung gestartet werden, werden aufgezeichnet.

Veröffentlichen Sie als Workaround Anwendungen gemäß ihrer Aufzeichnungsrichtlinien in separaten Bereitstellungsgruppen. Verwenden Sie keine Anwendungsnamen als Aufzeichnungsbedingung. Dadurch wird sichergestellt, dass vorab gestartete Sitzungen aufgezeichnet werden können. Benachrichtigungen werden jedoch weiterhin angezeigt.

Verwenden von Active Directory-Gruppen

Beim Erstellen von Richtlinien können Sie in der Sitzungsaufzeichnung Active Directory-Gruppen verwenden. Active Directory-Gruppen statt einzelner Benutzer vereinfachen die Erstellung und Verwaltung von Regeln und Richtlinien. Beispiel: Wenn Benutzer in der Buchhaltungsabteilung des Unternehmens zur Active Directory-Gruppe Finanz gehören, können Sie eine Regel erstellen, die für alle Mitglieder dieser Gruppe gilt, indem Sie die Gruppe Finanz im Assistenten für Regeln auswählen.

Positivliste der Benutzer

Sie können Richtlinien für die Sitzungsaufzeichnung erstellen, die sicherstellen, dass die Sitzungen bestimmter Benutzer im Unternehmen nie aufgezeichnet werden. Dies wird Positivliste der Benutzer genannt. Positivlisten sind nützlich für Benutzer, die mit datenschutzrelevanten Informationen umgehen oder wenn Ihre Organisation die Sitzungen einer bestimmten Mitarbeiterklasse nicht aufzeichnen möchte.

Wenn beispielsweise alle Mitglieder der Geschäftsleitung im Unternehmen zu einer Active Directory-Gruppe Geschäftsführung gehören, können Sie sicherstellen, dass die Sitzungen dieser Benutzer nie aufgezeichnet werden, indem Sie eine Regel erstellen, mit der die Sitzungsaufzeichnung für die Gruppe Geschäftsführung deaktiviert wird. Während die Richtlinie, die diese Regel enthält, aktiv ist, werden keine Sitzungen der Mitglieder der Gruppe “Geschäftsführung” aufgezeichnet. Die Sitzungen anderer Mitarbeiter im Unternehmen werden basierend auf den anderen Regeln in der aktiven Richtlinie aufgezeichnet.

Konfigurieren von Director zur Verwendung des Sitzungsaufzeichnungsservers

Sie können mit der Director-Konsole die Aufzeichnungsrichtlinien erstellen und aktivieren.

  1. Zur Verwendung einer HTTPS-Verbindung installieren Sie das Zertifikat zum Vertrauen des Sitzungsaufzeichnungsservers im Ordner mit den vertrauenswürdigen Stammzertifikaten des Director-Servers.
  2. Zum Konfigurieren des Director-Servers für die Verwendung des Sitzungsaufzeichnungsservers führen Sie den Befehl C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording aus.
  3. Geben Sie die IP-Adresse bzw. den FQDN des Sitzungsaufzeichnungsservers, die Portnummer und den Verbindungstyp (HTTP/HTTPS) für die Verbindung zwischen Sitzungsaufzeichnungsagent und Sitzungsaufzeichnungsbroker auf dem Director-Server ein.

Grundlegendes zu Rollover

Wenn Sie eine Richtlinie aktivieren, bleibt die zuvor aktive Richtlinie so lange in Kraft, bis die aufgezeichnete Sitzung endet oder ein Rollover der Sitzungsaufzeichnungsdatei erfolgt. Ein Dateirollover tritt auf, wenn die maximale Größe erreicht wird. Weitere Informationen zur maximalen Dateigröße für Aufzeichnungen finden Sie unter Angeben der Dateigröße für Aufzeichnungen.

In der folgenden Tabelle werden die Vorgänge beschrieben, die beim Anwenden einer neuen Aufzeichnungsrichtlinie auftreten, während eine Sitzung aufgezeichnet wird und ein Rollover erfolgt:

Vorherige Aufzeichnungsrichtlinie Neue Aufzeichnungsrichtlinie Aufzeichnungsrichtlinie nach Rollover
Nicht aufzeichnen Jede andere Richtlinie Keine Änderung. Die neue Richtlinie wird nur gültig, wenn sich der Benutzer an einer neuen Sitzung anmeldet.
Ohne Benachrichtigung aufzeichnen Nicht aufzeichnen Aufzeichnung wird gestoppt.
Ohne Benachrichtigung aufzeichnen Mit Benachrichtigung aufzeichnen Aufzeichnung wird fortgesetzt, und eine Benachrichtigung wird angezeigt.
Mit Benachrichtigung aufzeichnen Nicht aufzeichnen Aufzeichnung wird gestoppt.
Mit Benachrichtigung aufzeichnen Ohne Benachrichtigung aufzeichnen Aufzeichnung wird fortgesetzt. Bei der nächsten Anmeldung des Benutzers wird keine Meldung angezeigt.
Konfigurieren von Richtlinien für die Sitzungsaufzeichnung