Documentación de productos

Consideraciones de seguridad y mejores prácticas

May 31, 2026
Contribución de: 
C

Nota:

Es posible que su organización deba cumplir con estándares de seguridad específicos para satisfacer los requisitos normativos. Este documento no cubre este tema, ya que dichos estándares de seguridad cambian con el tiempo. Para obtener información actualizada sobre los estándares de seguridad y los productos de Citrix, consulte Citrix Trust Center.

Firewalls

Proteja todas las máquinas de su entorno con firewalls perimetrales, incluso en los límites de los enclaves, según corresponda.

Todas las máquinas de su entorno deben estar protegidas por un firewall personal. Al instalar los componentes principales y los VDA, puede elegir que los puertos necesarios para la comunicación de componentes y funciones se abran automáticamente si se detecta el Servicio de Firewall de Windows (incluso si el firewall no está habilitado). También puede optar por configurar manualmente esos puertos de firewall. Si utiliza un firewall diferente, debe configurarlo manualmente. Para obtener más información sobre los puertos necesarios, consulte Tech Paper: Communication Ports Used by Citrix Technologies.

Si está migrando un entorno convencional a esta versión, es posible que deba reubicar un firewall perimetral existente o agregar nuevos firewalls perimetrales. Por ejemplo, supongamos que hay un firewall perimetral entre un cliente convencional y un servidor de base de datos en el centro de datos. Cuando se utiliza esta versión, ese firewall perimetral debe colocarse de manera que el escritorio virtual y el dispositivo de usuario estén en un lado, y los servidores de base de datos y los Delivery Controllers en el centro de datos estén en el otro lado. Por lo tanto, considere la posibilidad de crear un enclave dentro de su centro de datos para contener los servidores de base de datos y los Controllers. Considere también tener protección entre el dispositivo de usuario y el escritorio virtual.

Nota:

Los puertos TCP 1494 y 2598 se utilizan para ICA y CGP y, por lo tanto, es probable que estén abiertos en los firewalls para que los usuarios fuera del centro de datos puedan acceder a ellos. Citrix recomienda no utilizar estos puertos para ninguna otra cosa, a fin de evitar la posibilidad de dejar inadvertidamente interfaces administrativas expuestas a ataques. Los puertos 1494 y 2598 están registrados oficialmente en la Internet Assigned Number Authority (http://www.iana.org/).

Comunicaciones seguras con Delivery Controller™

Cifrado de la comunicación mediante HTTPS

StoreFront y NetScaler Gateway se comunican con el servicio XML que se ejecuta en el Delivery Controller a través de HTTP o HTTPS. Dependiendo de la configuración, los VDA pueden comunicarse con el Delivery Controller mediante WebSocket. Se recomienda habilitar HTTPS y deshabilitar HTTP. Esto requiere que haya habilitado Enable HTTPS on Delivery Controllers.

Alternativamente, puede configurar Windows para proteger la comunicación entre los servidores mediante IPSec.

Claves de seguridad

Puede usar Claves de seguridad para asegurarse de que solo los servidores StoreFront y NetScaler autorizados puedan conectarse a DaaS a través de los conectores de la nube. Esto es especialmente importante si ha habilitado la confianza XML.

Confianza XML

De forma predeterminada, cuando StoreFront se conecta al Delivery Controller para acciones como la enumeración y el inicio, StoreFront debe pasar las credenciales de Active Directory del usuario para que DaaS pueda autenticar al usuario y verificar la pertenencia a grupos del usuario. Sin embargo, al usar otros métodos de autenticación como la transferencia de dominio, las tarjetas inteligentes o SAML, StoreFront no tiene la contraseña de Active Directory. En este caso, debe habilitar la “Confianza XML”. Con la confianza XML habilitada, CVAD permite que StoreFront realice acciones en nombre de un usuario, como enumerar e iniciar aplicaciones sin validar la contraseña del usuario. Antes de habilitar la confianza XML, use Claves de seguridad u otro mecanismo, como firewalls o IPsec, para asegurarse de que solo los servidores StoreFront de confianza puedan conectarse a los Delivery Controllers.

Use el SDK de PowerShell de Citrix Virtual Apps and Desktops para comprobar, habilitar o deshabilitar la configuración de confianza XML.

  • Para comprobar el valor actual de la configuración de confianza XML, ejecute Get-BrokerSite e inspeccione el valor de TrustRequestsSentToTheXMLServicePort.
  • Para habilitar o deshabilitar la confianza XML, ejecute Set-BrokerSite con el parámetro TrustRequestsSentToTheXmlServicePort.

Comunicación entre VDA y Delivery Controller

Existen dos mecanismos para la comunicación de los VDA con los controladores.

  • Windows Communication Foundation

    La protección a nivel de mensaje de Windows Communication Foundation (WCF) protege la comunicación entre el Delivery Controller y el VDA. Esto elimina la necesidad de una protección adicional a nivel de transporte mediante TLS. El puerto predeterminado utilizado para la comunicación entre VDA y Delivery Controller es 80. Sin embargo, puede personalizar el puerto. Para obtener más información, consulte Personalizar un VDA.

    Para obtener información sobre la seguridad de los mensajes en WCF, consulte la documentación de Microsoft Message Security in WCF.

    La configuración de WCF utiliza Kerberos para la autenticación mutua entre el Controller y el VDA. El cifrado utiliza AES en modo CBC con una clave de 256 bits. La integridad del mensaje utiliza SHA-1.

    Según Microsoft, los protocolos de seguridad utilizados por WCF cumplen con los estándares de OASIS (Organization for the Advancement of Structured Information Standards), incluido WS-SecurityPolicy 1.2. Además, Microsoft afirma que WCF admite todas las suites de algoritmos enumeradas en Security Policy 1.2.

    La comunicación entre el Controller y el VDA utiliza la suite de algoritmos basic256, cuyos algoritmos son los indicados anteriormente.

    La configuración de WCF utiliza el protocolo SOAP sobre HTTP junto con el cifrado de seguridad a nivel de mensaje.

  • WebSockets

    Este es el reemplazo moderno de WCF. Ofrece la ventaja de que solo el puerto TLS 443 se utiliza para la comunicación del VDA al Delivery Controller. Actualmente solo está disponible para máquinas aprovisionadas por MCS. Para obtener más información, consulte (/es-es/citrix-virtual-apps-desktops/2407/secure/websocket-vda-support).

Protección de las comunicaciones ICA®

Citrix CVAD ofrece varias opciones para proteger el tráfico ICA entre el cliente y el VDA. A continuación, se muestran las opciones disponibles:

  • Cifrado básico: La configuración predeterminada.
  • SecureICA: Permite cifrar los datos de la sesión mediante cifrado RC5 (128 bits).
  • VDA TLS/DTLS: Permite utilizar el cifrado a nivel de red mediante TLS/DTLS.

Cifrado básico

Cuando se utiliza el cifrado básico, el tráfico se cifra como se muestra en el siguiente gráfico.

Cifrado de tráfico al usar cifrado básico

SecureICA

Cuando se utiliza SecureICA, el tráfico se cifra como se muestra en el siguiente gráfico.

Cifrado de tráfico al usar SecureICA

Para obtener más información, consulte (/es-es/citrix-virtual-apps-desktops/2407/policies/reference/ica-policy-settings/security-policy-settings.html)

Nota 1:

SecureICA no es compatible cuando se utiliza la aplicación Workspace para HTML5.

Nota 2:

Citrix SecureICA forma parte del protocolo ICA/HDX, pero no es un protocolo de seguridad de red conforme a los estándares como Transport Layer Security (TLS).

TLS/DTLS de VDA

Cuando se utiliza el cifrado TLS/DTLS de VDA, el tráfico se cifra como se muestra en el siguiente gráfico.

Cifrado de tráfico al usar TLS/DTLS

Para configurar TLS/DTLS de VDA, consulte Configuración de TLS en VDA.

Canales virtuales

Utilice la lista de permitidos de canales virtuales para controlar qué canales virtuales que no son de Citrix están permitidos en su entorno.

Comunicaciones seguras con el servidor de impresión

Puede habilitar TLS para las conexiones basadas en TCP entre el Virtual Delivery Agent (VDA) y el Universal Print Server. Para obtener más información, consulte Transport Layer Security (TLS) en Universal Print Server.

Comunicación segura con la base de datos del sitio

Para obtener información sobre cómo habilitar TLS para la base de datos del sitio, consulte CTX137556.

Seguridad de la máquina VDA

Recomendaciones generales

Asegúrese de que sus VDA estén actualizados con las últimas actualizaciones de seguridad del sistema operativo y antivirus.

Seguridad de las aplicaciones

Para evitar que los usuarios que no son administradores realicen acciones maliciosas, Citrix recomienda configurar reglas de Windows AppLocker para instaladores, aplicaciones, ejecutables y scripts en el host VDA.

Nombres de archivo 8.3

Puede deshabilitar los nombres de archivo 8.3 en los VDA. Consulte la documentación de fsutil de Microsoft.

Consideraciones sobre el almacenamiento de datos

Su entorno de escritorio puede constar de varios tipos de escritorios, como escritorios agrupados y dedicados. Los usuarios nunca deben almacenar datos en escritorios que se comparten entre usuarios, como los escritorios agrupados. Si los usuarios almacenan datos en escritorios dedicados, esos datos deben eliminarse si el escritorio se pone a disposición de otros usuarios más adelante.

Administración de cuentas de usuario

Aplique las prácticas recomendadas de Windows para la administración de cuentas. No cree una cuenta en una plantilla o imagen antes de que sea duplicada por Machine Creation Services o Provisioning Services. No programe tareas utilizando cuentas de dominio privilegiadas almacenadas. No cree manualmente cuentas de máquina compartidas de Active Directory. Estas prácticas ayudarán a evitar que un ataque a la máquina obtenga contraseñas de cuentas persistentes locales y las utilice para iniciar sesión en imágenes compartidas de MCS/PVS que pertenezcan a otros.

Conceda a los usuarios solo las capacidades que necesiten. Los privilegios de Microsoft Windows se siguen aplicando a los escritorios de la forma habitual: configure los privilegios mediante la asignación de derechos de usuario y las pertenencias a grupos mediante la directiva de grupo. Una ventaja de esta versión es que es posible conceder a un usuario derechos administrativos sobre un escritorio sin conceder también el control físico sobre el equipo en el que se almacena el escritorio.

Tenga en cuenta lo siguiente al planificar los privilegios de escritorio:

  • De forma predeterminada, cuando los usuarios sin privilegios se conectan a un escritorio, ven la zona horaria del sistema que ejecuta el escritorio en lugar de la zona horaria de su propio dispositivo de usuario. Para obtener información sobre cómo permitir que los usuarios vean su hora local al usar escritorios, consulte el artículo Administrar grupos de entrega.
  • Un usuario que es administrador en un escritorio tiene control total sobre ese escritorio. Si un escritorio es un escritorio agrupado en lugar de un escritorio dedicado, se debe confiar en el usuario con respecto a todos los demás usuarios de ese escritorio, incluidos los futuros usuarios. Todos los usuarios del escritorio deben ser conscientes del riesgo potencial permanente para la seguridad de sus datos que plantea esta situación. Esta consideración no se aplica a los escritorios dedicados, que tienen un solo usuario; ese usuario no debe ser administrador en ningún otro escritorio.
  • Un usuario que es administrador en un escritorio generalmente puede instalar software en ese escritorio, incluido software potencialmente malicioso. El usuario también puede monitorear o controlar el tráfico en cualquier red conectada al escritorio.

Administrar derechos de inicio de sesión

Los derechos de inicio de sesión son necesarios tanto para cuentas de usuario como para cuentas de equipo. Al igual que con los privilegios de Microsoft Windows, los derechos de inicio de sesión se siguen aplicando a los escritorios de la forma habitual: configure los derechos de inicio de sesión a través de la Asignación de derechos de usuario y las pertenencias a grupos a través de la Directiva de grupo.

Los derechos de inicio de sesión de Windows son: iniciar sesión localmente, iniciar sesión a través de Servicios de Escritorio remoto, iniciar sesión a través de la red (acceder a este equipo desde la red), iniciar sesión como trabajo por lotes e iniciar sesión como servicio.

Para las cuentas de equipo, conceda a los equipos solo los derechos de inicio de sesión que necesiten. El derecho de inicio de sesión “Acceder a este equipo desde la red” es necesario para las cuentas de equipo de los Delivery Controllers.

Para las cuentas de usuario, conceda a los usuarios solo los derechos de inicio de sesión que necesiten.

Según Microsoft, de forma predeterminada, al grupo Usuarios de Escritorio remoto se le concede el derecho de inicio de sesión “Permitir inicio de sesión a través de Servicios de Escritorio remoto” (excepto en los controladores de dominio).

La política de seguridad de su organización puede establecer explícitamente que este grupo debe eliminarse de ese derecho de inicio de sesión. Considere el siguiente enfoque:

  • El Virtual Delivery Agent (VDA) para SO multisesión utiliza los Servicios de Escritorio remoto de Microsoft. Puede configurar el grupo Usuarios de Escritorio remoto como un grupo restringido y controlar la pertenencia al grupo a través de las directivas de grupo de Active Directory. Consulte la documentación de Microsoft para obtener más información.
  • Para otros componentes de Citrix Virtual Apps and Desktops™, incluido el VDA para SO de sesión única, el grupo Usuarios de Escritorio remoto no es necesario. Por lo tanto, para esos componentes, el grupo Usuarios de Escritorio remoto no requiere el derecho de inicio de sesión “Permitir inicio de sesión a través de Servicios de Escritorio remoto”; puede eliminarlo. Además:
    • Si administra esos equipos a través de Servicios de Escritorio remoto, asegúrese de que todos esos administradores ya sean miembros del grupo Administradores.
    • Si no administra esos equipos a través de Servicios de Escritorio remoto, considere deshabilitar los propios Servicios de Escritorio remoto en esos equipos.

Aunque es posible agregar usuarios y grupos al derecho de inicio de sesión “Denegar inicio de sesión a través de Servicios de Escritorio remoto”, el uso de derechos de inicio de sesión de denegación no se recomienda generalmente. Consulte la documentación de Microsoft para obtener más información.

Seguridad de Delivery Controller

Servicios de Windows en Delivery Controller

La instalación de Delivery Controller crea los siguientes servicios de Windows:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Gestiona las cuentas de equipo de Microsoft Active Directory para las máquinas virtuales.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): Recopila información de uso de la configuración del sitio para su uso por parte de Citrix, si esta recopilación ha sido aprobada por el administrador del sitio. Luego, envía esta información a Citrix para ayudar a mejorar el producto.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): Admite la administración y el aprovisionamiento de AppDisks, la integración de AppDNA y la administración de App-V.
  • Citrix Broker Service (NT SERVICE\CitrixBrokerService): Selecciona los escritorios virtuales o las aplicaciones que están disponibles para los usuarios.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Registra todos los cambios de configuración y otros cambios de estado realizados por los administradores en el sitio.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Repositorio de todo el sitio para la configuración compartida.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Gestiona los permisos concedidos a los administradores.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Gestiona las autopruebas de los demás servicios de Delivery Controller.
  • Citrix Host Service (NT SERVICE\CitrixHostService): Almacena información sobre las infraestructuras de hipervisor utilizadas en una implementación de Citrix Virtual Apps o Citrix Virtual Desktops, y también ofrece la funcionalidad utilizada por la consola para enumerar los recursos en un grupo de hipervisores.
  • Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Orquesta la creación de máquinas virtuales de escritorio.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): Recopila métricas para Citrix Virtual Apps o Citrix Virtual Desktops, almacena información histórica y proporciona una interfaz de consulta para herramientas de solución de problemas e informes.
  • Citrix Storefront Service (NT SERVICE\ CitrixStorefront): Admite la administración de StoreFront. (No forma parte del componente StoreFront en sí mismo).
  • Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Admite operaciones de administración privilegiada de StoreFront. (No forma parte del componente StoreFront en sí mismo).
  • Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Propaga los datos de configuración de la base de datos principal del sitio a la caché de host local.
  • Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Selecciona los escritorios virtuales o las aplicaciones que están disponibles para los usuarios cuando la base de datos principal del sitio no está disponible.

La instalación de Delivery Controller también crea los siguientes servicios de Windows. Estos también se crean cuando se instalan con otros componentes de Citrix:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Admite la recopilación de información de diagnóstico para uso del Soporte de Citrix.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Recopila información de diagnóstico para su análisis por parte de Citrix, de modo que los resultados del análisis y las recomendaciones puedan ser vistos por los administradores para ayudar a diagnosticar problemas con el sitio.

La instalación de Delivery Controller también crea el siguiente servicio de Windows. Actualmente no se utiliza. Si se ha habilitado, desactívelo.

  • Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

La instalación de Delivery Controller también crea los siguientes servicios de Windows. Actualmente no se utilizan, pero deben estar habilitados. No los desactive.

  • Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
  • Citrix Trust Service (NT SERVICE\CitrixTrust)

Excepto el servicio de administración privilegiada de Citrix Storefront™, a estos servicios se les concede el derecho de inicio de sesión Iniciar sesión como servicio y los privilegios Ajustar cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un token de nivel de proceso. No es necesario cambiar estos derechos de usuario. El Delivery Controller no utiliza estos privilegios y se deshabilitan automáticamente.

Excepto el servicio de administración privilegiada de Citrix Storefront y el servicio de telemetría de Citrix, los servicios de Windows de Delivery Controller enumerados anteriormente están configurados para iniciar sesión como la identidad de SERVICIO DE RED. No modifique esta configuración de servicio.

El servicio Citrix Config Synchronizer necesita que la cuenta de SERVICIO DE RED pertenezca al grupo de Administradores locales en el Delivery Controller. Esto permite que la caché de host local funcione correctamente.

El servicio de administración privilegiada de Citrix Storefront está configurado para iniciar sesión como Sistema local (NT AUTHORITY\SYSTEM). Esto es necesario para las operaciones de StoreFront de Delivery Controller que normalmente no están disponibles para los servicios (incluida la creación de sitios de Microsoft IIS). No modifique su configuración de servicio.

El servicio de telemetría de Citrix está configurado para iniciar sesión con su propia identidad específica de servicio.

Puede deshabilitar el servicio de telemetría de Citrix. Aparte de este servicio y de los servicios que ya están deshabilitados, no deshabilite ningún otro de estos servicios de Windows de Delivery Controller.

Administrar derechos de inicio de sesión

Las cuentas de equipo de los VDA deben tener el derecho de inicio de sesión “Acceder a este equipo desde la red”. Consulte Detección de Controller basada en OU de Active Directory.

Acceso de cliente

El acceso de cliente se proporciona normalmente mediante la implementación de Citrix StoreFront. Para obtener más información sobre cómo proteger StoreFront, consulte la documentación de StoreFront.

Para permitir que los usuarios remotos se conecten de forma segura a StoreFront y a los VDA, implemente un gateway de NetScaler®.

Citrix recomienda que los clientes se conecten a StoreFront mediante la aplicación Citrix Workspace. Para obtener más información, consulte las secciones de seguridad de la documentación de la aplicación Citrix Workspace para cada sistema operativo. Alternativamente, los usuarios pueden usar un explorador web para acceder a StoreFront.

Considere la posibilidad de proporcionar a los usuarios clientes ligeros donde los usuarios tienen una capacidad limitada para ejecutar aplicaciones que no sean la aplicación Citrix Workspace™. Cuando los dispositivos son administrados por su organización, debe establecer políticas para garantizar la implementación de actualizaciones de seguridad del sistema operativo y software antivirus. Sin embargo, en muchos casos, los usuarios necesitan poder conectarse desde dispositivos no administrados fuera del control de su organización. Considere el uso de las siguientes funciones:

  • Endpoint Analysis para escanear los puntos finales en busca de información de seguridad, como el sistema operativo y el antivirus, y denegar el acceso a los clientes que no cumplan sus requisitos de seguridad.
  • App Protection bloquea los registradores de pulsaciones de teclas y la captura de pantalla.

Entornos de versiones mixtas

Los entornos de versiones mixtas, por ejemplo, donde los VDA tienen una versión diferente a la del Delivery Controller, son inevitables durante algunas actualizaciones. Siga las prácticas recomendadas y minimice el tiempo de coexistencia de componentes de Citrix de diferentes versiones. En entornos de versiones mixtas, la política de seguridad, por ejemplo, puede no aplicarse de manera uniforme.

Nota:

Esto es típico de otros productos de software; el uso de una versión anterior de Active Directory solo aplica parcialmente la Directiva de grupo con versiones posteriores de Windows.

El siguiente escenario describe un problema de seguridad que puede ocurrir en un entorno Citrix específico de versiones mixtas. Cuando se utiliza Citrix Receiver 1.7 para conectarse a un escritorio virtual que ejecuta el VDA en XenApp y XenDesktop 7.6 Feature Pack 2, la configuración de la directiva Permitir la transferencia de archivos entre el escritorio y el cliente está habilitada en el sitio, pero no puede ser deshabilitada por un Delivery Controller que ejecute XenApp y XenDesktop 7.1. Este no reconoce la configuración de la directiva, que se lanzó en una versión posterior del producto. Esta configuración de directiva permite a los usuarios cargar y descargar archivos a su escritorio virtual, lo cual es el problema de seguridad. Para solucionar esto, actualice el Delivery Controller (o una instancia independiente de Studio) a la versión 7.6 Feature Pack 2 y luego use la Directiva de grupo para deshabilitar la configuración de la directiva. Alternativamente, use la directiva local en todos los escritorios virtuales afectados.

Consideraciones de seguridad de Remote PC Access

Remote PC Access implementa las siguientes funciones de seguridad:

  • Se admite el uso de tarjetas inteligentes.
  • Cuando se conecta una sesión remota, el monitor del PC de la oficina aparece en blanco.
  • Acceso con PC remoto redirige toda la entrada de teclado y ratón a la sesión remota, excepto CTRL+ALT+SUPR y las tarjetas inteligentes y dispositivos biométricos habilitados para USB.
  • SmoothRoaming solo se admite para un único usuario.
  • Cuando un usuario tiene una sesión remota conectada a un PC de oficina, solo ese usuario puede reanudar el acceso local al PC de oficina. Para reanudar el acceso local, el usuario pulsa Ctrl-Alt-Supr en el PC local y, a continuación, inicia sesión con las mismas credenciales utilizadas por la sesión remota. El usuario también puede reanudar el acceso local insertando una tarjeta inteligente o utilizando datos biométricos, si su sistema tiene la integración adecuada de un proveedor de credenciales de terceros. Este comportamiento predeterminado se puede anular habilitando el Cambio rápido de usuario a través de objetos de directiva de grupo (GPO) o editando el registro.

Nota:

Citrix recomienda no asignar privilegios de administrador de VDA a los usuarios de sesión generales.

Asignaciones automáticas

De forma predeterminada, Acceso con PC remoto admite la asignación automática de varios usuarios a un VDA. En XenDesktop 5.6 Feature Pack 1, los administradores podían anular este comportamiento mediante el script de PowerShell RemotePCAccess.ps1. Esta versión utiliza una entrada del Registro para permitir o prohibir varias asignaciones automáticas de PC remotos; esta configuración se aplica a todo el sitio.

Precaución:

La edición incorrecta del Registro puede causar problemas graves que pueden requerir la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas resultantes del uso incorrecto del Editor del Registro se puedan resolver. Utilice el Editor del Registro bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del Registro antes de editarlo.

Para restringir las asignaciones automáticas a un único usuario:

En cada Controller del sitio, establezca la siguiente entrada del Registro:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

Si hay asignaciones de usuario existentes, quítelas mediante comandos SDK para que el VDA sea posteriormente apto para una única asignación automática.

  • Quite todos los usuarios asignados del VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Elimine el VDA del grupo de entrega: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Reinicie el PC físico de la oficina.

Consideraciones de seguridad y mejores prácticas
May 31, 2026
Contribución de: 
C
May 31, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.