Product Documentation

Verhindern des Benutzerzugriffs auf den lokalen Desktop

Sep 29, 2015

Verwenden Sie Desktop Lock, wenn Benutzer nicht mit dem lokalen Desktop arbeiten müssen. In diesem Zugriffsszenario ersetzt der virtuelle Desktop den lokalen Desktop, sodass Benutzer mit dem virtuellen Desktop arbeiten, als wäre es der lokale.

Desktop Lock ist eine eigenständige Komponente, die mit XenApp, XenDesktop und Citrix VDI-in-a-Box auf den Markt gebracht wurde. Das Programm ist eine Alternative zu Desktop Viewer und wird hauptsächlich für umfunktionierte Windows-Computer und Thin Clients verwendet. Desktop Lock verwendet einen Ersatz für Windows Shell, in der kein Startmenü angezeigt wird, damit Benutzer nicht auf das lokale Betriebssystem zugreifen können. Außerdem wird ein Ersatz für den Windows Task-Manager verwendet.

Mit Desktop Lock können Benutzer auf Desktops von Bereitstellungsgruppen für Server- und Desktopbetriebssystemen zugreifen.

Systemanforderungen für Desktop Lock

Verwenden Sie Desktop Lock, wenn Benutzer nicht mit dem lokalen Desktop arbeiten müssen. In diesem Zugriffsszenario ersetzt der virtuelle Desktop den lokalen Desktop, sodass Benutzer mit dem virtuellen Desktop arbeiten, als wäre es der lokale.

Desktop Lock ist eine eigenständige Komponente, die mit XenApp, XenDesktop und Citrix VDI-in-a-Box auf den Markt gebracht wurde. Das Programm ist eine Alternative zu Desktop Viewer und wird hauptsächlich für umfunktionierte Windows-Computer und Thin Clients verwendet. Desktop Lock verwendet einen Ersatz für Windows Shell, in der kein Startmenü angezeigt wird, damit Benutzer nicht auf das lokale Betriebssystem zugreifen können. Außerdem wird ein Ersatz für den Windows Task-Manager verwendet.

Mit Desktop Lock können Benutzer auf Desktops von Bereitstellungsgruppen für Server- und Desktopbetriebssystemen zugreifen.

Betriebssystem

Desktop Lock wird auf den folgenden Benutzerbetriebssystemen unterstützt. Editionen oder Service Packs werden nur bei eingeschränkter Unterstützung aufgeführt:

  • Windows 7, 32-Bit- und 64-Bit-Editionen (inkl. Embedded Edition)
  • Windows XP Professional, 32-Bit- und 64-Bit-Edition
  • Windows XP Embedded
  • Windows Vista, 32-Bit- und 64-Bit-Editionen
Hinweis: Support für Windows XP endete zusammen mit dem erweiterten Support für Windows XP durch Microsoft am 8. April 2014. Der Support für Windows XP Embedded wird fortgesetzt.

Receiver

Citrix Receiver für Windows Enterprise 3.4-Paket

Umgebung

Benutzergeräte, auf denen Desktop Lock ausgeführt wird, werden nur unterstützt, wenn sie mit einem lokalen Netzwerk (LAN) verbunden sind.

In Domänen eingebundene und nicht in Domänen eingebundene Installationen

Sie können Desktop Lock auf Benutzergeräten installieren, die zu einer Domäne oder Arbeitsgruppe gehören. Das Systemverhalten und die Benutzererfahrung unterscheidet sich etwas auf den unterschiedlichen Gerätetypen.

In Installationen, die in Domänen eingebunden sind, wird das Windows-Benutzergerät Mitglied einer Active Directory-Domäne. Merkmale dieser Installationen:

  • Benutzergeräte greifen über XenApp Services-URLs auf StoreFront-Stores zu. VDI-in-a-Box kann auch verwendet werden.
  • Program Neighborhood Agent ersetzt die Windows Explorer-Shell und startet den ersten in alphabetischer Reihenfolge verfügbaren Desktop in einer zugewiesenen Desktopgruppe.
  • Die Ersatzshell von Desktop Lock überschreibt nicht die Shell des Administrators.
  • Windows Task-Manager wird durch eine Version ersetzt, mit der Benutzer den virtuellen Desktop neu starten können oder die Tastenkombination Strg+Alt+Entf an die Desktopsitzung übergeben wird.
  • Auf Benutzergeräten unter Windows XP ruft die Tastenkombination Strg+Alt+Entf den Ersatz-Task-Manager auf.
  • Das Benutzergerät imitieren den Grund für eine getrennte oder beendete Sitzung. Wenn der Benutzer zum Beispiel den virtuellen Desktop herunterfährt (und das Beenden der Sitzung bewirkt), wird das Gerät auch heruntergefahren.

Nicht in Domänen eingebundene Installationen werden hauptsächlich von Anbietern von Windows-Terminals verwendet, die kein Mitglied einer Active Directory-Domäne sind. Merkmale dieser Installationen:

  • Benutzergeräte greifen auf StoreFront-Stores über Desktop Appliance-Sites zu.
  • Benutzergeräte sind für die automatische Anmeldung konfiguriert und starten Internet Explorer im Kioskmodus. Die Domänenanmeldeseite wird nicht angezeigt.
  • Der einzige Zugriffspunkt ist die Desktopgerätesite, die den ersten in alphabetischer Reihenfolge verfügbaren Desktop in einer zugewiesenen Bereitstellungsgruppe startet.
  • Eine Version von Windows Task-Manager übergibt die Tastenkombination Strg+Alt+Entf an die Sitzungssitzung.

Unterstützung für mehrere Monitore

Desktop Lock unterstützt bis zu acht Monitore. Ein virtueller Desktop wird auf allen Monitoren angezeigt. Der primäre Monitor auf dem Gerät wird der primäre Monitor in der virtuellen Desktopsitzung.

Tastatureingabe in Desktop Lock-Sitzungen

In Desktop Lock-Sitzungen wird die Tastenkombination Windows-Logo-Taste + L an den lokalen Computer gesendet. In den meisten Fällen wird Strg + Alt + Entf an den lokalen Computer gesendet. Umschalt + F2 kann nicht verwendet werden, um eine Vollbild-Desktopsitzung in den Fenstermodus zu schalten. Diese Tastenkombination kann jedoch in einer beliebigen Anwendungssitzung in der Desktopsitzung verwendet werden.

STRG + ESC und ALT + TAB werden an den virtuellen Remotedesktop gesendet.

Tastatureingaben, die die Einrastfunktion, die Anschlagverzögerung und Statusanzeige (Eingabehilfen von Microsoft) aktivieren, werden normalerweise an den lokalen Computer gesendet.
Hinweis: Bei Desktop Viewer werden einige Windows-Tastenkombination im Vergleich zu Desktop Lock anders behandelt. Informationen zu Desktop Viewer finden Sie in der Receiver-Dokumentation.

Installieren und Entfernen von Desktop Lock

Installieren von Desktop Lock

Mit diesen Schritten installieren Sie das Receiver für Windows-Plug-In, sodass virtuelle Desktops mit Desktop Lock angezeigt werden. Verwenden Sie diese Schritte nicht, wenn Desktop Viewer, Teil von Receiver, für die Benutzer verfügbar sein soll.

Wenn Sie Desktop Lock installieren, verwendet das System eine Ersatzshell. Um die Administration des Benutzergeräts nach der Installation zu ermöglichen, wird das Konto, das für die Installation von CitrixDesktopLock.msi verwendet wurde, beim Shellersatz ausgeschlossen. Wenn das Konto, das für die Installation von CitrixDesktopLock.msi verwendet wurde, später gelöscht wird, können Sie sich nicht am Gerät anmelden und es verwalten.

Sie sollten keine benutzerdefinierten Shells verwenden, da sie sich auf die für Desktop Lock-Sitzungen verwendete Ersatzshell negativ auswirken können.

Benutzer müssen für den Zugriff auf Desktops mit Desktop Lock Domänenkonten verwenden. Sie können keine lokalen Konten verwenden.

  1. Melden Sie sich am Computer als lokaler Administrator an.
  2. Führen Sie an einer Eingabeaufforderung CitrixReceiverEnterprise.exe mit der folgenden Syntax aus. Diese Datei ist im Ordner "Citrix Receiver" und Plug-Ins\Windows\Receiver auf dem Installationsmedium gespeichert:
    CitrixReceiverEnterprise.exe ADDLOCAL="ReceiverInside,ICA_Client,SSON,USB,DesktopViewer, Flash,PN_Agent,Vd3d" SERVER_LOCATION="my.server" ENABLE_SSON="Yes"

    Weitere Informationen zu den in diesem Befehl verwendeten Eigenschaften finden Sie im Abschnitt Konfigurieren und Installieren von Receiver für Windows mit Befehlszeilenparametern in der Dokumentation für Receiver für Windows.

  3. Geben Sie die URL der Services-Site ein, auf der sich die virtuellen Desktops befinden. Die URL muss im Format http://Servername oder https://Servername angegeben werden. Wenn Sie Hardware oder Software für das Load Balancing oder Failover verwenden, können Sie eine lastausgeglichene Adresse eingeben.
    Wichtig: Stellen Sie sicher, dass die eingegebene URL richtig ist. Wenn die eingegebene URL falsch oder das Feld leer ist, und der Benutzer nach der Installation keine gültige URL eingibt, sind keine virtuellen oder lokalen Desktops verfügbar.
  4. Navigieren Sie auf dem Installationsmedium zum Ordner "Citrix Receiver and Plug-Ins\Windows\Receiver" und doppelklicken Sie auf CitrixDesktopLock.msi. Der Assistent "Citrix Desktop Lock" wird angezeigt.
  5. Lesen und akzeptieren Sie die Citrix Lizenzvereinbarung und klicken Sie auf Install. Der Installationsfortschritt wird angezeigt.
  6. Klicken Sie im Dialogfeld Installation Completed auf Close.
  7. Starten Sie das Benutzergerät neu, wenn Sie dazu aufgefordert werden. Wenn Sie Zugriffsrechte auf einen Desktop haben und Sie sich als ein Domänenbenutzer anmelden, wird das neu gestartete Gerät mit Desktop Lock angezeigt.

Entfernen von Desktop Lock

  1. Melden Sie sich mit denselben Anmeldeinformationen des lokalen Administrators an, die bei der Installation von Desktop Lock verwendet wurden.
  2. Öffnen Sie "Software" in der Systemsteuerung.
  3. Entfernen Sie Citrix Desktop Lock.
  4. Entfernen Sie Citrix Receiver oder Citrix Receiver (Enterprise).

Konfigurieren von Desktop Lock

Wichtig: Konfigurieren Sie Desktop Lock mit einem Administratorkonto. Dies muss das Konto sein, das Sie für die Installation verwendet haben.
Zum Konfigurieren von Desktop Lock mit der Gruppenrichtlinie laden Sie die folgenden ADM-Dateien unter Computerkonfiguration oder Benutzerkonfiguration > Administrative Vorlagen > Klassische administrative Vorlage (ADM) > Citrix Components:
  • icaclient.adm: Informationen zum Erhalten dieser Datei finden Sie unter Aktivieren der Smartcard Verwendung.
  • icaclient_usb.adm: Sie finden die Datei im folgenden Ordner: %SystemDrive%:\Programme\Citrix\ICA Client\Configuration\en.

Überlegungen bei der Konfiguration von Desktop Lock

Gewähren Sie pro Benutzer nur Zugriff auf einen virtuellen Desktop mit Desktop Lock.

Lassen Sie nicht zu, dass Benutzer virtuelle Desktops in den Ruhezustand setzen. Verhindern Sie dies mit Active Directory-Richtlinien.

Konfigurieren von USB-Einstellungen

Wenn ein Benutzer ein USB-Gerät anschließt, erfolgt ein automatisches Remoting des Geräts zum virtuellen Desktop. Benutzereingriffe sind nicht erforderlich. Der virtuelle Desktop steuert das USB-Gerät und zeigt es auf der Benutzeroberfläche an.
  1. Aktivieren Sie die USB-Richtlinienregel, um die USB-Unterstützung in XenApp- bzw. XenDesktop-Bereitstellungen zu aktivieren. Weitere Informationen finden Sie unter Einstellungen der Richtlinie "USB-Geräte".
  2. Aktivieren und konfigurieren Sie unter Citrix Receiver > Remoting client devices > Generic USB Remoting die Richtlinien Existing USB Devices, New USB Devices und USB Devices List In Desktop Viewer. Sie können die Richtlinie Show All Devices verwenden, um alle verbundenen USB-Geräte anzuzeigen, einschließlich solche, die den allgemeinen virtuellen Kanal für USB verwenden (z. B. Webcams und Memory Sticks).

Konfigurieren von Laufwerkszuordnung

Aktivieren und konfigurieren Sie unter Citrix Receiver > Remoting client devices die Richtlinie Client drive mapping.

Konfigurieren eines Mikrofons

Aktivieren und konfigurieren Sie unter Citrix Receiver > Remoting client devices die Richtlinie Client microphone.

Konfigurieren von Smartcards für die Verwendung mit Geräten mit Desktop Lock

Aktualisiert: 2015-03-05

Dieses Thema bietet einen Überblick über das Vorbereiten von Citrix StoreFront, Citrix Desktop Lock und Desktopgeräte für die Arbeit mit Smartcards.

Diese Anleitungen gelten für die mit Citrix Receiver für Windows Enterprise 3.4 verfügbare Version von Desktop Lock. Anleitungen zum Konfigurieren der mit Citrix 4.2 verfügbaren Version von Desktop Lock finden Sie unter Receiver Desktop Lock.

  1. Konfigurieren von StoreFront Weitere Informationen finden Sie unter Installieren und Einrichten von StoreFront.
    1. Konfigurieren Sie den XML-Dienst zur Verwendung der DNS-Adressauflösung für Kerberos-Unterstützung.
    2. Konfigurieren Sie StoreFront-Sites für HTTPS-Zugriff, erstellen Sie ein Serverzertifikat, das von Ihrer Domänenzertifizierungsstelle signiert wurde und fügen Sie HTTPS-Bindung zur Standardwebsite hinzu.
    3. Stellen Sie sicher, dass Passthrough mit Smartcard aktiviert ist. Diese Option ist standardmäßig aktiviert.
    4. Aktivieren Sie Kerberos.
    5. Aktivieren Sie Kerberos und Passthrough mit Smartcard.
    6. Aktivieren Sie den anonymen Zugriff auf die IIS-Standardwebsite und verwenden Sie die integrierte Windows-Authentifizierung.
    7. Stellen Sie sicher, dass für die IIS-Standardwebsite kein SSL erforderlich ist, und dass Clientzertifikate ignoriert werden.
    8. Aktivieren Sie XenApp Services-Support.
  2. Konfigurieren Sie lokale Computerrichtlinien auf dem Benutzergerät.
    1. Importieren Sie die icaclient.adm-Vorlage mit der Gruppenrichtlinien-Verwaltungskonsole. Die Vorlage ist unter % Programme%\Citrix\ ICA Client\Konfiguration\ verfügbar.
    2. Erweitern Sie Administrative Vorlagen> Klassische administrative Vorlage (ADM) > Citrix Komponenten > Citrix Receiver > Benutzerauthentifizierung.
    3. Aktivieren Sie Smartcard-Authentifizierung.
    4. Aktivieren Sie Lokaler Benutzername und Kennwort.
  3. Konfigurieren Sie das Benutzergerät vor der Installation von Desktop Lock.
    1. Fügen Sie die URL für den Delivery Controller in der Windows Internet Explorer-Liste "Vertrauenswürdige Sites" hinzu.
    2. Fügen Sie die URL für die erste Desktopgruppe in der Windows Internet Explorer-Liste "Vertrauenswürdige Sites" hinzu. Verwenden Sie das folgende Format: desktop://desktop-20group-20name.
    3. Aktivieren Sie Internet Explorer für die automatische Anmeldung für vertrauenswürdige Sites.
  4. Konfigurieren Sie das Benutzergerät nach der Installation von Desktop Lock.
    1. Bearbeiten Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PNAgent\ServerURL so, dass er auf PNAgent config.xml des Delivery Controllers verweist.
      Achtung: Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

Wenn Sie Citrix Desktop Lock auf dem Benutzergerät installiert haben, wird eine konsistente Richtlinie für das Entfernen der Smartcard zwingend angewendet. Wird die Richtlinie für das Entfernen der Smartcard beispielsweise für den Desktop auf Abmelden erzwingen festgelegt, muss der Benutzer sich auch vom Benutzergerät abmelden, unabhängig davon, wie die Richtlinie dort eingestellt ist. Dadurch wird sichergestellt, dass das Benutzergerät sich nicht in einem inkonsistenten Zustand befindet. Dieses Verhalten gilt nur für Benutzergeräte mit Desktop Lock nicht Desktop Viewer.