Produktdokumentation
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
PDF anzeigen

Active Directory-Benutzername- und Kennwortauthentifizierung

March 9, 2026
Beitrag von: 
C

Benutzer werden aufgefordert, ihren Active Directory-Benutzernamen und ihr Kennwort einzugeben.

Screenshot des Authentifizierungsbildschirms für Benutzername und Kennwort.

Wenn das Kennwort des Benutzers abgelaufen ist oder bald abläuft, kann dem Benutzer je nach Konfiguration die Option zum Ändern seines Kennworts angeboten werden.

Um die Benutzername- und Kennwortauthentifizierung für einen Store bei Verwendung der Citrix Workspace-App zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie im Fenster Authentifizierungsmethoden die Option Active Directory-Benutzername und -Kennwort.

Die Aktivierung der Benutzername- und Kennwortauthentifizierung für einen Store aktiviert diese standardmäßig auch für alle Websites dieses Stores für Benutzer, die einen Webbrowser verwenden. Sie können die Benutzername- und Kennwortauthentifizierung für eine bestimmte Website auf der Registerkarte Authentifizierungsmethoden für Websites verwalten deaktivieren.

Vertrauenswürdige Benutzerdomänen konfigurieren

Sie können den Zugriff auf Stores für Benutzer einschränken, die sich mit expliziten Domänenanmeldeinformationen anmelden, entweder direkt oder über die Pass-Through-Authentifizierung von Citrix Gateway.

  1. Wählen Sie den Knoten „Stores“ im linken Bereich der Citrix StoreFront-Verwaltungskonsole aus und wählen Sie im Ergebnisbereich die entsprechende Authentifizierungsmethode. Klicken Sie im Bereich „Aktionen“ auf Authentifizierungsmethoden verwalten.

  2. Wählen Sie aus der Liste Benutzername und Kennwort > Einstellungen die Option Vertrauenswürdige Domänen konfigurieren aus.

  3. Wählen Sie Nur vertrauenswürdige Domänen aus und klicken Sie auf Hinzufügen, um den Namen einer vertrauenswürdigen Domäne einzugeben. Benutzer mit Konten in dieser Domäne können sich bei allen Stores anmelden, die den Authentifizierungsdienst verwenden. Um einen Domänennamen zu ändern, wählen Sie den Eintrag in der Liste „Vertrauenswürdige Domänen“ aus und klicken Sie auf Bearbeiten. Um den Zugriff auf Stores für Benutzerkonten in einer Domäne zu unterbrechen, wählen Sie die Domäne in der Liste aus und klicken Sie auf Entfernen.

    Die Art und Weise, wie Sie den Domänennamen angeben, bestimmt das Format, in dem Benutzer ihre Anmeldeinformationen eingeben müssen. Wenn Benutzer ihre Anmeldeinformationen im Domänen-Benutzernamen-Format eingeben sollen, fügen Sie den NetBIOS-Namen zur Liste hinzu. Um zu verlangen, dass Benutzer ihre Anmeldeinformationen im Benutzerprinzipalnamen-Format eingeben, fügen Sie den vollqualifizierten Domänennamen zur Liste hinzu. Wenn Sie Benutzern ermöglichen möchten, ihre Anmeldeinformationen sowohl im Domänen-Benutzernamen-Format als auch im Benutzerprinzipalnamen-Format einzugeben, müssen Sie sowohl den NetBIOS-Namen als auch den vollqualifizierten Domänennamen zur Liste hinzufügen.

  4. Wenn Sie mehrere vertrauenswürdige Domänen konfigurieren, wählen Sie aus der Liste „Standarddomäne“ die Domäne aus, die standardmäßig ausgewählt wird, wenn sich Benutzer anmelden.

  5. Wenn Sie die vertrauenswürdigen Domänen auf der Anmeldeseite auflisten möchten, aktivieren Sie das Kontrollkästchen „Domänenliste auf der Anmeldeseite anzeigen“.

Screenshot des Bildschirms für vertrauenswürdige Domänen

PowerShell

Um die Liste der konfigurierten Domänen abzurufen, verwenden Sie das Cmdlet Get-STFExplicitCommonOptions.

Um die vertrauenswürdigen Domänen zu aktualisieren, verwenden Sie das Cmdlet Set-STFExplicitCommonOptions.

Benutzern das Ändern ihrer Kennwörter ermöglichen

Sie können Benutzern erlauben, ihre Kennwörter jederzeit zu ändern. Alternativ können Sie Kennwortänderungen auf Benutzer beschränken, deren Kennwörter abgelaufen sind. Dadurch stellen Sie sicher, dass Benutzer niemals durch ein abgelaufenes Kennwort am Zugriff auf ihre Desktops und Anwendungen gehindert werden.

Die Funktion zum Ändern des Kennworts ist in den folgenden Clients verfügbar:

Citrix Workspace-Apps Benutzer kann ein abgelaufenes Kennwort ändern, wenn in StoreFront aktiviert Benutzer wird benachrichtigt, dass das Kennwort abläuft Benutzer kann das Kennwort vor Ablauf ändern, wenn in StoreFront aktiviert
Windows Ja    
Mac Ja    
Android      
iOS      
Linux Ja    
Web Ja Ja Ja

Die Standardkonfiguration verhindert, dass Benutzer der Citrix Workspace-App und des Webbrowsers ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Wenn Sie diese Funktion aktivieren möchten, stellen Sie sicher, dass die Richtlinien für die Domänen, die Ihre Server enthalten, Benutzer nicht daran hindern, ihre Kennwörter zu ändern. Wenn Sie Benutzern erlauben, ihre Kennwörter zu ändern, werden sensible Sicherheitsfunktionen für jeden zugänglich, der auf einen der Stores zugreifen kann, die den Authentifizierungsdienst verwenden. Wenn Ihre Organisation eine Sicherheitsrichtlinie hat, die Kennwortänderungsfunktionen für Benutzer nur für den internen Gebrauch vorsieht, stellen Sie sicher, dass keiner der Stores von außerhalb Ihres Unternehmensnetzwerks zugänglich ist.

Wenn Sie Benutzern erlauben, ihre Kennwörter jederzeit zu ändern, wird lokalen Benutzern, deren Kennwörter bald ablaufen, beim Anmelden eine Warnung angezeigt. Standardmäßig wird der Benachrichtigungszeitraum für einen Benutzer durch die entsprechende Windows-Richtlinieneinstellung bestimmt. Alternativ können Sie einen benutzerdefinierten Benachrichtigungszeitraum konfigurieren.

  1. Wählen Sie im Fenster Authentifizierungsmethoden verwalten aus dem Dropdown-Menü Active Directory-Benutzername und -Kennwort > Einstellungen die Option Kennwortoptionen verwalten aus.

  2. Um Benutzern das Ändern von Kennwörtern zu erlauben, aktivieren Sie das Kontrollkästchen Benutzern das Ändern von Kennwörtern erlauben.

    Hinweis:

    Wenn Sie diese Option nicht auswählen, müssen Sie selbst Vorkehrungen treffen, um Benutzer zu unterstützen, die aufgrund abgelaufener Kennwörter nicht auf ihre Desktops und Anwendungen zugreifen können.

  3. Wählen Sie aus, ob Benutzer Kennwörter Nur wenn sie ablaufen oder Jederzeit ändern dürfen.

  4. Wählen Sie aus, ob Benutzer vor Ablauf ihrer Kennwörter erinnert werden sollen. Sie können aus den folgenden Optionen wählen:

    • Nicht erinnern – Die Benutzeroberfläche zeigt keine Erinnerungen an den Kennwortablauf an. Sie benachrichtigt Benutzer nur, wenn das Kennwort abgelaufen ist.

    • Erinnerungseinstellungen aus der Active Directory-Gruppenrichtlinie verwenden – Nach der Anmeldung benachrichtigt die Benutzeroberfläche, wenn das Kennwort innerhalb der in der Gruppenrichtlinie konfigurierten Anzahl von Tagen abläuft. Dem Benutzer wird die Option zum Ändern seines Kennworts angeboten.

      Hinweis:

      StoreFront berücksichtigt keine feingranularen Kennwortrichtlinien. Wenn Sie feingranulare Kennwortrichtlinien verwenden, sollten Sie diese Option daher nicht auswählen.

    • Benutzerdefinierte Erinnerungseinstellung verwenden – Nach der Anmeldung benachrichtigt die Benutzeroberfläche den Benutzer, wenn sein Kennwort innerhalb der angegebenen Anzahl von Tagen abläuft. Dem Benutzer wird die Option zum Ändern seines Kennworts angeboten.

Screenshot der Kennwortoptionen verwalten

Hinweise

Hinweis 1:

Stellen Sie sicher, dass auf Ihren StoreFront-Servern ausreichend Speicherplatz vorhanden ist, um Profile für alle Ihre Benutzer zu speichern. Um zu überprüfen, ob das Kennwort eines Benutzers bald abläuft, erstellt StoreFront ein lokales Profil für diesen Benutzer auf dem Server. StoreFront muss den Domänencontroller kontaktieren können, um die Kennwörter der Benutzer zu ändern.

Hinweis 2:

Wenn Sie das Ändern von Kennwörtern jederzeit aktivieren oder deaktivieren, wirkt sich dies auch auf die Einstellungen unter Kennwortoptionen verwalten für die Pass-Through-Authentifizierung von Citrix Gateway aus.

PowerShell

Um die Liste der vertrauenswürdigen Domänen abzurufen, verwenden Sie das Cmdlet Get-STFExplicitCommonOptions.

Um die vertrauenswürdigen Domänen zu aktualisieren, verwenden Sie das Cmdlet Set-STFExplicitCommonOptions.

Kennwortvalidierung

Normalerweise fordert StoreFront Windows auf, die Anmeldeinformationen in Active Directory zu validieren. Dies erfordert, dass sich der Windows-Server in derselben Domäne wie der Benutzer befindet oder dass eine Vertrauensstellung zwischen den beiden Domänen besteht. Wenn es nicht möglich ist, Active Directory-Vertrauensstellungen einzurichten, können Sie StoreFront so konfigurieren, dass die Citrix Virtual Apps and Desktops Delivery Controller zur Authentifizierung der Anmeldeinformationen verwendet werden. Dies betrifft auch die HTTP Basic- und Gateway Pass-Through-Authentifizierung.

So konfigurieren Sie, wie StoreFront Kennwörter validiert:

  1. Wählen Sie im Fenster Authentifizierungsmethoden verwalten aus dem Dropdown-Menü Benutzername und Kennwort > Einstellungen die Option Kennwortvalidierung konfigurieren aus.

    Dialogfeld Authentifizierungsmethoden verwalten

  2. Wählen Sie aus dem Dropdown-Menü Kennwort validieren über:

    • Active Directory – Fordert Windows auf, Anmeldeinformationen in Active Directory zu validieren

    • Delivery Controller – Fordert den konfigurierten Delivery Controller™ auf, Anmeldeinformationen zu validieren.

    Fenster Kennwortvalidierung konfigurieren

  3. Wenn Sie Delivery Controller ausgewählt haben, wählen Sie Konfigurieren. Fügen Sie in den Bildschirmen Delivery Controller konfigurieren einen oder mehrere Delivery Controller zur Validierung der Benutzeranmeldeinformationen hinzu und klicken Sie auf OK.

    Fenster Delivery Controller bearbeiten

  4. Wählen Sie OK aus.

PowerShell

Um abzurufen, wie Kennwörter validiert werden, verwenden Sie das Cmdlet Get-STFExplicitAuthenticator.

Um die Kennwortvalidierung über Delivery Controller durchzuführen, verwenden Sie das Cmdlet Set-STFExplicitAuthenticator, um den Validator auf xmlServiceAuthenticator festzulegen. Um festzulegen, welcher Delivery Controller zur Authentifizierung von Anmeldeinformationen verwendet werden soll, verwenden Sie das Cmdlet Enable-STFXmlServiceAuthentication.

Single Sign-On bei VDAs

Wenn Benutzer eine Ressource starten, leitet StoreFront die Anmeldeinformationen, die der Benutzer für die Anmeldung am Store verwendet hat, für das Single Sign-On an die VDAs weiter.

Wenn der Federated Authentication Service (FAS) für den Store aktiviert ist, kontaktiert StoreFront einen FAS-Server, um ein Zertifikat für das Single Sign-On am Store bereitzustellen. Dieses Zertifikat wird anstelle der Anmeldeinformationen an den VDA weitergeleitet. Wenn StoreFront keinen FAS-Server kontaktieren kann, gibt es kein Single Sign-On am VDA.

Anmeldebildschirm anpassen

Der Anmeldebildschirm wird aus einer Vorlage generiert, die sich typischerweise unter C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm befindet. Die Vorlage wird mithilfe der Forms Template Language definiert.

Die folgenden Beispiele fügen einen Titel hinzu und verhindern, dass die Citrix Workspace-App für Windows Kennwörter zwischenspeichert:

Titeltext

Wenn sich Benutzer bei einem Store anmelden, wird standardmäßig kein Titeltext im Anmeldedialogfeld angezeigt. Sie können den Text „Bitte melden Sie sich an“ anzeigen oder Ihre eigene benutzerdefinierte Nachricht verfassen:

  1. Verwenden Sie einen Texteditor, um die Datei UsernamePassword.tfrm für den Authentifizierungsdienst zu öffnen.

  2. Suchen Sie die folgenden Zeilen in der Datei.

    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
<!--NeedCopy-->

  3. Kommentieren Sie die Anweisung aus, indem Sie die führenden @* und nachfolgenden *@ entfernen.

    @Heading("ExplicitAuth:AuthenticateHeadingText")
<!--NeedCopy-->

    Benutzer der Citrix Workspace-App sehen den Standardtiteltext „Bitte melden Sie sich an“ oder die entsprechende lokalisierte Version dieses Textes, wenn sie sich bei Stores anmelden, die diesen Authentifizierungsdienst verwenden.

  4. Um den Titeltext zu ändern, verwenden Sie einen Texteditor, um die Datei ExplicitFormsCommon.xx.resx für den Authentifizierungsdienst zu öffnen, die sich typischerweise im Verzeichnis C:\inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\resources\ befindet.

  5. Suchen Sie die folgenden Elemente in der Datei. Bearbeiten Sie den Text, der im <value>-Element eingeschlossen ist, um den Titeltext zu ändern, den Benutzer im Anmeldedialogfeld sehen, wenn sie auf Stores zugreifen, die diesen Authentifizierungsdienst verwenden.

    <data name="AuthenticateHeadingText" xml:space="preserve">
    <value>My Company Name</value>
</data>
<!--NeedCopy-->

    Um den Titeltext des Anmeldedialogfelds für Benutzer in anderen Gebietsschemas zu ändern, bearbeiten Sie die lokalisierten Dateien ExplicitAuth.languagecode.resx, wobei languagecode der Gebietsschema-Bezeichner ist.

Verhindern, dass die Citrix Workspace-App für Windows Kennwörter und Benutzernamen zwischenspeichert

Standardmäßig speichert die Citrix Workspace-App für Windows die Kennwörter der Benutzer, wenn diese sich bei StoreFront-Stores anmelden. Um zu verhindern, dass die Citrix Workspace-App für Windows die Kennwörter der Benutzer zwischenspeichert, bearbeiten Sie die Dateien für den Authentifizierungsdienst.

  1. Verwenden Sie einen Texteditor, um die Datei inetpub\wwwroot\Citrix\[Store name]Auth\App_Data\Templates\UsernamePassword.tfrm zu öffnen.

  2. Suchen Sie die folgende Zeile in der Datei.

    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
<!--NeedCopy-->

  3. Kommentieren Sie die Anweisung wie unten gezeigt aus.

    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->
<!--NeedCopy-->

    Benutzer müssen ihre Kennwörter jedes Mal eingeben, wenn sie sich bei Stores anmelden, die diesen Authentifizierungsdienst verwenden.

    Standardmäßig füllt die Citrix Workspace-App für Windows das zuletzt eingegebene Feld für den Benutzernamen automatisch aus. Informationen zum Unterdrücken der automatischen Ausfüllung des Benutzernamenfelds oder zu einem alternativen Mechanismus zum Unterdrücken der Kennwortzwischenspeicherung finden Sie unter Verhindern, dass die Citrix Workspace-App für Windows Kennwörter und Benutzernamen zwischenspeichert.

Remotezugriff über Citrix Gateway

Sie können Ihr Citrix Gateway so konfigurieren, dass Benutzer sich mit ihrem Domänenbenutzernamen und Kennwort sowie optional einem zweiten Faktor am Gateway anmelden. Diese Anmeldeinformationen werden an StoreFront weitergeleitet, um sich am Store anzumelden. Informationen zum Konfigurieren Ihres Citrix Gateways für die LDAP-Benutzername- und Kennwortauthentifizierung finden Sie in der NetScaler-Dokumentation – LDAP-Authentifizierung. Informationen zum Konfigurieren von StoreFront finden Sie unter Pass-Through von Citrix Gateway.

Active Directory-Benutzername- und Kennwortauthentifizierung
March 9, 2026
Beitrag von: 
C
March 9, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.