Documentación de productos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Consideraciones de seguridad y prácticas recomendadas

March 18, 2026
Contribución de: 
C

Nota:

Es posible que tu organización deba cumplir con estándares de seguridad específicos para satisfacer los requisitos normativos. Este documento no cubre este tema, ya que dichos estándares de seguridad cambian con el tiempo. Para obtener información actualizada sobre los estándares de seguridad y los productos de Citrix, consulta el Citrix Trust Center.

Firewalls

Protege todas las máquinas de tu entorno con firewalls perimetrales, incluso en los límites de los enclaves, según corresponda.

Todas las máquinas de tu entorno deben estar protegidas por un firewall personal. Al instalar los componentes principales y los VDA, puedes elegir que los puertos necesarios para la comunicación de componentes y funciones se abran automáticamente si se detecta el Servicio de Firewall de Windows (incluso si el firewall no está habilitado). También puedes optar por configurar manualmente esos puertos de firewall. Si utilizas un firewall diferente, debes configurarlo manualmente. Para obtener más información sobre los puertos necesarios, consulta el Documento técnico: Puertos de comunicación utilizados por las tecnologías de Citrix.

Si estás migrando un entorno convencional a esta versión, es posible que debas reubicar un firewall perimetral existente o agregar nuevos firewalls perimetrales. Por ejemplo, supongamos que hay un firewall perimetral entre un cliente convencional y un servidor de bases de datos en el centro de datos. Cuando se utiliza esta versión, ese firewall perimetral debe colocarse de modo que el escritorio virtual y el dispositivo de usuario estén en un lado, y los servidores de bases de datos y los Delivery Controllers en el centro de datos estén en el otro lado. Por lo tanto, considera la posibilidad de crear un enclave dentro de tu centro de datos para contener los servidores de bases de datos y los Controllers. También considera tener protección entre el dispositivo de usuario y el escritorio virtual.

Nota:

Los puertos TCP 1494 y 2598 se utilizan para ICA y CGP y, por lo tanto, es probable que estén abiertos en los firewalls para que los usuarios externos al centro de datos puedan acceder a ellos. Citrix recomienda que no utilices estos puertos para ninguna otra cosa, para evitar la posibilidad de dejar inadvertidamente interfaces administrativas expuestas a ataques. Los puertos 1494 y 2598 están registrados oficialmente en la Internet Assigned Number Authority (http://www.iana.org/).

Comunicaciones seguras con Delivery Controller™

Cifrado de la comunicación mediante HTTPS

StoreFront y NetScaler Gateway se comunican con el servicio XML que se ejecuta en el Delivery Controller a través de HTTP o HTTPS. Según la configuración, los VDA pueden comunicarse con el Delivery Controller mediante WebSocket. Director se comunica con los datos de supervisión mediante OData a través de HTTP o HTTPS. Se recomienda habilitar HTTPS y deshabilitar HTTP. Para ello, debes Habilitar TLS en los Delivery Controllers.

Claves de seguridad

Puedes usar Claves de seguridad para asegurarte de que solo los servidores StoreFront y NetScaler autorizados puedan conectarse a DaaS a través de los conectores en la nube. Esto es especialmente importante si has habilitado la confianza XML.

Confianza XML

De forma predeterminada, cuando StoreFront se conecta al Delivery Controller para acciones como la enumeración y el inicio, StoreFront debe pasar las credenciales de Active Directory del usuario para que DaaS pueda autenticar al usuario y comprobar la pertenencia del usuario a un grupo. Sin embargo, al usar otros métodos de autenticación, como la autenticación de paso de dominio, las tarjetas inteligentes o SAML, StoreFront no tiene la contraseña de Active Directory. En este caso, debes habilitar la “confianza XML”. Con la confianza XML habilitada, Citrix Virtual Apps and Desktops permite a StoreFront realizar acciones en nombre de un usuario, como enumerar e iniciar aplicaciones, sin validar la contraseña del usuario. Antes de habilitar la confianza XML, usa Claves de seguridad u otro mecanismo, como firewalls o IPsec, para asegurarte de que solo los servidores StoreFront de confianza puedan conectarse a los Delivery Controllers.

Usa el SDK de PowerShell de Citrix Virtual Apps and Desktops para comprobar, habilitar o deshabilitar la configuración de confianza XML.

  • Para comprobar el valor actual de la configuración de confianza XML, ejecuta Get-BrokerSite e inspecciona el valor de TrustRequestsSentToTheXMLServicePort.
  • Para habilitar o deshabilitar la confianza XML, ejecuta Set-BrokerSite con el parámetro TrustRequestsSentToTheXmlServicePort.

Comunicación entre VDA y Delivery Controller

Existen dos mecanismos para que los VDA se comuniquen con los Controllers.

  • Windows Communication Foundation

    La protección a nivel de mensaje de Windows Communication Foundation (WCF) protege la comunicación entre el Delivery Controller y el VDA. Esto elimina la necesidad de una protección adicional a nivel de transporte mediante TLS. El puerto predeterminado utilizado para la comunicación entre el VDA y el Delivery Controller es el 80. Sin embargo, puedes personalizar el puerto. Para obtener más información, consulta Personalizar un VDA.

    Para obtener información sobre la seguridad de los mensajes en WCF, consulta la documentación de Microsoft Seguridad de los mensajes en WCF.

    La configuración de WCF utiliza Kerberos para la autenticación mutua entre el Controller y el VDA. El cifrado utiliza AES en modo CBC con una clave de 256 bits. La integridad de los mensajes utiliza SHA-1.

Según Microsoft, los protocolos de seguridad usados por WCF cumplen con los estándares de OASIS (Organization for the Advancement of Structured Information Standards), incluyendo WS-SecurityPolicy 1.2. Además, Microsoft afirma que WCF es compatible con todas las suites de algoritmos enumeradas en la Política de seguridad 1.2.

La comunicación entre el Controller y el VDA usa la suite de algoritmos basic256, cuyos algoritmos son los mencionados anteriormente.

La configuración de WCF usa el protocolo SOAP sobre HTTP junto con el cifrado de seguridad a nivel de mensaje.

  • WebSockets

Este es el reemplazo moderno de WCF. Ofrece la ventaja de que solo el puerto TLS 443 se usa para la comunicación del VDA con el Delivery Controller. Actualmente, solo está disponible para máquinas aprovisionadas por MCS. Para obtener más información, consulta Comunicación WebSocket entre el VDA y el Delivery Controller.

Comunicaciones seguras entre el Delivery Controller y el License Server

El Delivery Controller se comunica con el License Server a través de HTTPS. De forma predeterminada, usa un certificado autofirmado, pero te recomendamos que lo reemplaces por un certificado emitido por una autoridad de certificación empresarial o pública. Para obtener más información, consulta Instalar manualmente un certificado usado por Citrix Licensing Manager y los servicios web para licencias.

Comunicaciones seguras entre los navegadores web y Web Studio y Director

Web Studio y Director se pueden instalar en la misma máquina que el Delivery Controller o en máquinas separadas. Los usuarios se conectan a Web Studio y Director mediante un navegador web. De forma predeterminada, Web Studio habilita HTTPS mediante un certificado autofirmado, mientras que Director, instalado de forma independiente, no configura HTTPS. Te recomendamos que habilita TLS en Web Studio y Director, usando un certificado adecuado.

Protección de las comunicaciones ICA®

Citrix Virtual Apps and Desktops™ ofrece varias opciones para proteger el tráfico ICA entre el cliente y el VDA. Estas son las opciones disponibles:

  • Cifrado básico: La configuración predeterminada.
  • SecureICA: Permite cifrar los datos de la sesión mediante el cifrado RC5 (128 bits).
  • VDA TLS/DTLS: Permite usar el cifrado a nivel de red mediante TLS/DTLS.

Cifrado básico

Cuando usas el cifrado básico, el tráfico se cifra como se muestra en el siguiente gráfico.

Cifrado de tráfico al usar el cifrado básico

SecureICA

Cuando usas SecureICA, el tráfico se cifra como se muestra en el siguiente gráfico.

Cifrado de tráfico al usar SecureICA

Para obtener más información, consulta Configuración de la directiva de seguridad

Nota 1:

SecureICA no es compatible con la aplicación Workspace para HTML5.

Nota 2:

Citrix SecureICA forma parte del protocolo ICA/HDX, pero no es un protocolo de seguridad de red que cumpla con los estándares, como Transport Layer Security (TLS).

VDA TLS/DTLS

Cuando usas el cifrado VDA TLS/DTLS, el tráfico se cifra como se muestra en el siguiente gráfico.

Cifrado de tráfico al usar TLS/DTLS

Para configurar VDA TLS/DTLS, consulta Configuración de TLS en los VDA.

Canales virtuales

Usa la lista de permitidos de canales virtuales para controlar qué canales virtuales que no son de Citrix están permitidos en tu entorno.

Comunicaciones seguras con el servidor de impresión

Puedes habilitar TLS para conexiones basadas en TCP entre el Virtual Delivery Agent (VDA) y el Universal Print Server. Para obtener más información, consulta Transport Layer Security (TLS) en Universal Print Server.

Comunicación segura con la base de datos del sitio

Para obtener información sobre cómo habilitar TLS en la base de datos del sitio, consulta CTX137556.

Seguridad de la máquina VDA

Recomendaciones generales

Asegúrate de que tus VDA estén actualizados con las últimas actualizaciones de seguridad del sistema operativo y antivirus.

Seguridad de las aplicaciones

Para evitar que los usuarios que no son administradores realicen acciones maliciosas, Citrix® recomienda que configures reglas de Windows AppLocker para instaladores, aplicaciones, ejecutables y scripts en el host VDA.

Nombres de archivo 8.3

Puedes deshabilitar los nombres de archivo 8.3 en los VDA. Consulta la documentación de Microsoft fsutil.

Consideraciones sobre el almacenamiento de datos

Tu entorno de escritorio puede constar de varios tipos de escritorios, como escritorios agrupados y dedicados. Los usuarios nunca deben almacenar datos en escritorios que se comparten entre ellos, como los escritorios agrupados. Si los usuarios almacenan datos en escritorios dedicados, esos datos deben eliminarse si el escritorio se pone a disposición de otros usuarios más adelante.

Administración de cuentas de usuario

Aplica las mejores prácticas de Windows para la administración de cuentas. No crees una cuenta en una plantilla o imagen antes de que sea duplicada por Machine Creation Services o Provisioning Services. No programes tareas utilizando cuentas de dominio privilegiadas almacenadas. No crees manualmente cuentas de máquina compartidas de Active Directory. Estas prácticas ayudarán a evitar que un ataque a la máquina obtenga contraseñas de cuentas persistentes locales y luego las use para iniciar sesión en imágenes compartidas de MCS/PVS que pertenezcan a otros.

Concede a los usuarios solo las capacidades que necesiten. Los privilegios de Microsoft Windows se siguen aplicando a los escritorios de la forma habitual: configura los privilegios a través de la Asignación de derechos de usuario y las pertenencias a grupos a través de la Directiva de grupo. Una ventaja de esta versión es que es posible conceder a un usuario derechos administrativos sobre un escritorio sin conceder también el control físico sobre el equipo en el que está almacenado el escritorio.

Ten en cuenta lo siguiente al planificar los privilegios de escritorio:

  • De forma predeterminada, cuando los usuarios sin privilegios se conectan a un escritorio, ven la zona horaria del sistema que ejecuta el escritorio en lugar de la zona horaria de su propio dispositivo de usuario. Para obtener información sobre cómo permitir que los usuarios vean su hora local al usar escritorios, consulta el artículo Administrar grupos de entrega.
  • Un usuario que es administrador en un escritorio tiene control total sobre ese escritorio. Si un escritorio es agrupado en lugar de dedicado, se debe confiar en el usuario con respecto a todos los demás usuarios de ese escritorio, incluidos los futuros usuarios. Todos los usuarios del escritorio deben ser conscientes del riesgo potencial permanente para la seguridad de sus datos que plantea esta situación. Esta consideración no se aplica a los escritorios dedicados, que tienen un solo usuario; ese usuario no debe ser administrador en ningún otro escritorio.
  • Un usuario que es administrador en un escritorio generalmente puede instalar software en ese escritorio, incluido software potencialmente malicioso. El usuario también puede potencialmente supervisar o controlar el tráfico en cualquier red conectada al escritorio.

Administrar derechos de inicio de sesión

Los derechos de inicio de sesión son necesarios tanto para las cuentas de usuario como para las cuentas de equipo. Al igual que con los privilegios de Microsoft Windows, los derechos de inicio de sesión se siguen aplicando a los escritorios de la forma habitual: configura los derechos de inicio de sesión a través de la Asignación de derechos de usuario y las pertenencias a grupos a través de la Directiva de grupo.

Los derechos de inicio de sesión de Windows son: iniciar sesión localmente, iniciar sesión a través de los Servicios de Escritorio remoto, iniciar sesión en la red (acceder a este equipo desde la red), iniciar sesión como trabajo por lotes e iniciar sesión como servicio.

Para las cuentas de equipo, concede a los equipos solo los derechos de inicio de sesión que necesiten. El derecho de inicio de sesión “Acceder a este equipo desde la red” es necesario para las cuentas de equipo de los Delivery Controllers.

Para las cuentas de usuario, concede a los usuarios solo los derechos de inicio de sesión que necesiten.

Según Microsoft, de forma predeterminada, al grupo Usuarios de escritorio remoto se le concede el derecho de inicio de sesión “Permitir el inicio de sesión a través de los Servicios de escritorio remoto” (excepto en los controladores de dominio).

La política de seguridad de tu organización puede establecer explícitamente que este grupo debe quitarse de ese derecho de inicio de sesión. Considera el siguiente enfoque:

  • El Virtual Delivery Agent (VDA) para SO multisesión usa los Servicios de escritorio remoto de Microsoft. Puedes configurar el grupo Usuarios de escritorio remoto como un grupo restringido y controlar la pertenencia al grupo mediante las directivas de grupo de Active Directory. Consulta la documentación de Microsoft para obtener más información.
  • Para otros componentes de Citrix Virtual Apps™ y Desktops, incluido el VDA para SO de sesión única, el grupo Usuarios de escritorio remoto no es necesario. Por lo tanto, para esos componentes, el grupo Usuarios de escritorio remoto no requiere el derecho de inicio de sesión “Permitir el inicio de sesión a través de los Servicios de escritorio remoto”; puedes quitarlo. Además:
    • Si administras esos equipos a través de los Servicios de escritorio remoto, asegúrate de que todos esos administradores ya sean miembros del grupo Administradores.
    • Si no administras esos equipos a través de los Servicios de escritorio remoto, considera deshabilitar los propios Servicios de escritorio remoto en esos equipos.

Aunque es posible agregar usuarios y grupos al derecho de inicio de sesión “Denegar el inicio de sesión a través de los Servicios de escritorio remoto”, el uso de derechos de inicio de sesión de denegación no se recomienda generalmente. Consulta la documentación de Microsoft para obtener más información.

Seguridad de Delivery Controller

Servicios de Windows en Delivery Controller

La instalación de Delivery Controller crea los siguientes servicios de Windows:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Administra las cuentas de equipo de Microsoft Active Directory para las máquinas virtuales.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): Recopila información de uso de la configuración del sitio para su uso por parte de Citrix, si esta recopilación ha sido aprobada por el administrador del sitio. Luego, envía esta información a Citrix para ayudar a mejorar el producto.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): Admite la administración y el aprovisionamiento de AppDisks, la integración de AppDNA y la administración de App-V.
  • Citrix Broker Service (NT SERVICE\CitrixBrokerService): Selecciona los escritorios virtuales o las aplicaciones que están disponibles para los usuarios.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Registra todos los cambios de configuración y otros cambios de estado realizados por los administradores en el sitio.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Repositorio de todo el sitio para la configuración compartida.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Administra los permisos concedidos a los administradores.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Administra las autopruebas de los demás servicios de Delivery Controller.
  • Citrix Host Service (NT SERVICE\CitrixHostService): Almacena información sobre las infraestructuras de hipervisor utilizadas en una implementación de Citrix Virtual Apps o Citrix Virtual Desktops, y también ofrece la funcionalidad utilizada por la consola para enumerar los recursos en un grupo de hipervisores.
  • Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Orquesta la creación de máquinas virtuales de escritorio.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): Recopila métricas para Citrix Virtual Apps o Citrix Virtual Desktops, almacena información histórica y proporciona una interfaz de consulta para herramientas de solución de problemas e informes.
  • Citrix StoreFront Service (NT SERVICE\ CitrixStorefront): Admite la administración de StoreFront. (No forma parte del propio componente de StoreFront.)
  • Citrix StoreFront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Admite operaciones de administración privilegiada de StoreFront. (No forma parte del propio componente de StoreFront.)
  • Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Propaga los datos de configuración de la base de datos principal del sitio a la caché de host local.
  • Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Selecciona los escritorios virtuales o las aplicaciones que están disponibles para los usuarios cuando la base de datos principal del sitio no está disponible.

La instalación de Delivery Controller también crea los siguientes servicios de Windows. Estos también se crean cuando se instalan con otros componentes de Citrix:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Admite la recopilación de información de diagnóstico para su uso por parte de Asistencia de Citrix.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Recopila información de diagnóstico para su análisis por parte de Citrix, de modo que los resultados del análisis y las recomendaciones puedan ser vistos por los administradores para ayudar a diagnosticar problemas con el sitio.

La instalación de Delivery Controller también crea el siguiente servicio de Windows. Este no se usa actualmente. Si se ha habilitado, deshabilítalo.

  • Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

La instalación de Delivery Controller también crea los siguientes servicios de Windows. Estos no se usan actualmente, pero deben estar habilitados. No los deshabilites.

  • Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
  • Citrix Trust Service (NT SERVICE\CitrixTrust)

Excepto por el Citrix StoreFront™ Privileged Administration Service, a estos servicios se les concede el derecho de inicio de sesión Iniciar sesión como servicio y los privilegios Ajustar cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un token de nivel de proceso. No necesitas cambiar estos derechos de usuario. Estos privilegios no son utilizados por Delivery Controller y se deshabilitan automáticamente.

Excepto por el servicio Citrix StoreFront Privileged Administration y el Citrix Telemetry Service, los servicios de Windows de Delivery Controller enumerados anteriormente están configurados para iniciar sesión como la identidad NETWORK SERVICE. No alteres esta configuración de servicio.

El Citrix Config Synchronizer Service necesita que la cuenta NETWORK SERVICE pertenezca al grupo Administrador local en Delivery Controller. Esto permite que la caché de host local funcione correctamente.

El servicio Citrix StoreFront Privileged Administration está configurado para iniciar sesión como Sistema local (NT AUTHORITY\SYSTEM). Esto es necesario para las operaciones de StoreFront de Delivery Controller que normalmente no están disponibles para los servicios (incluida la creación de sitios de Microsoft IIS). No alteres su configuración de servicio.

El Citrix Telemetry Service está configurado para iniciar sesión como su propia identidad específica de servicio.

Puedes deshabilitar el Citrix Telemetry Service. Aparte de este servicio y de los servicios que ya están deshabilitados, no deshabilites ningún otro de estos servicios de Windows de Delivery Controller.

Administrar derechos de inicio de sesión

Las cuentas de equipo de los VDA deben tener el derecho de inicio de sesión “Acceder a este equipo desde la red”. Consulta Detección de Controller basada en OU de Active Directory.

Acceso de cliente

El acceso de los clientes se suele proporcionar mediante la implementación de Citrix StoreFront. Para obtener más información sobre cómo proteger StoreFront, consulta la documentación de StoreFront.

Para permitir que los usuarios remotos se conecten de forma segura a StoreFront y a los VDA, implementa una puerta de enlace NetScaler®.

Citrix recomienda que los clientes se conecten a StoreFront mediante la aplicación Citrix Workspace. Para obtener más información, consulta las secciones de seguridad de la documentación de la aplicación Citrix Workspace para cada sistema operativo. Alternativamente, los usuarios pueden usar un explorador web para acceder a StoreFront.

Considera proporcionar a los usuarios clientes ligeros donde tengan una capacidad limitada para ejecutar aplicaciones que no sean la aplicación Citrix Workspace™. Cuando tu organización administre los dispositivos, debes establecer directivas para garantizar la implementación de actualizaciones de seguridad del sistema operativo y software antivirus. Sin embargo, en muchos casos, los usuarios necesitan poder conectarse desde dispositivos no administrados que están fuera del control de tu organización. Considera usar las siguientes funciones:

  • Análisis de puntos finales para escanear los puntos finales en busca de información de seguridad, como el sistema operativo y el antivirus, y denegar el acceso a los clientes que no cumplan tus requisitos de seguridad.
  • Protección de aplicaciones bloquea los registradores de teclas y la captura de pantalla.

Entornos de versiones mixtas

Los entornos de versiones mixtas, por ejemplo, donde los VDA tienen una versión diferente a la del Delivery Controller, son inevitables durante algunas actualizaciones. Sigue las mejores prácticas y minimiza el tiempo de coexistencia de componentes de Citrix de diferentes versiones. En entornos de versiones mixtas, es posible que la directiva de seguridad, por ejemplo, no se aplique de manera uniforme.

Nota:

Esto es típico de otros productos de software. El uso de una versión anterior de Active Directory solo aplica parcialmente la Directiva de grupo con versiones posteriores de Windows.

El siguiente escenario describe un problema de seguridad que puede ocurrir en un entorno Citrix específico de versiones mixtas. Cuando se usa Citrix Receiver 1.7 para conectarse a un escritorio virtual que ejecuta el VDA en XenApp y XenDesktop 7.6 Feature Pack 2, la configuración de directiva Permitir la transferencia de archivos entre el escritorio y el cliente está habilitada en el sitio, pero no puede ser deshabilitada por un Delivery Controller que ejecute XenApp y XenDesktop 7.1. No reconoce la configuración de directiva, que se lanzó en la versión posterior del producto. Esta configuración de directiva permite a los usuarios cargar y descargar archivos a su escritorio virtual, lo cual es el problema de seguridad. Para solucionar esto, actualiza el Delivery Controller (o una instancia independiente de Studio) a la versión 7.6 Feature Pack 2 y luego usa la Directiva de grupo para deshabilitar la configuración de directiva. Alternativamente, usa la directiva local en todos los escritorios virtuales afectados.

Consideraciones de seguridad de Acceso con PC remoto

Acceso con PC remoto implementa las siguientes funciones de seguridad:

  • Se admite el uso de tarjetas inteligentes.
  • Cuando se conecta una sesión remota, el monitor del PC de la oficina aparece en blanco.
  • Acceso con PC remoto redirige toda la entrada de teclado y ratón a la sesión remota, excepto CTRL+ALT+SUPR y las tarjetas inteligentes y dispositivos biométricos habilitados para USB.
  • SmoothRoaming solo se admite para un único usuario.
  • Cuando un usuario tiene una sesión remota conectada a un PC de oficina, solo ese usuario puede reanudar el acceso local al PC de oficina. Para reanudar el acceso local, el usuario pulsa Ctrl-Alt-Supr en el PC local y luego inicia sesión con las mismas credenciales utilizadas por la sesión remota. El usuario también puede reanudar el acceso local insertando una tarjeta inteligente o aprovechando la biometría, si tu sistema tiene una integración adecuada con un proveedor de credenciales de terceros. Este comportamiento predeterminado se puede anular habilitando el Cambio rápido de usuario a través de Objetos de directiva de grupo (GPO) o editando el registro.

Nota:

Citrix recomienda que no asignes privilegios de administrador de VDA a los usuarios de sesión generales.

Asignaciones automáticas

De forma predeterminada, Acceso con PC remoto admite la asignación automática de varios usuarios a un VDA. En XenDesktop 5.6 Feature Pack 1, los administradores pueden anular este comportamiento usando el script de PowerShell RemotePCAccess.ps1. Esta versión usa una entrada del registro para permitir o prohibir múltiples asignaciones automáticas de PC remoto. Esta configuración se aplica a todo el sitio.

Precaución:

Editar el registro incorrectamente puede causar problemas graves que podrían requerir que reinstales tu sistema operativo. Citrix no puede garantizar que los problemas resultantes del uso incorrecto del Editor del Registro se puedan resolver. Usa el Editor del Registro bajo tu propia responsabilidad. Asegúrate de hacer una copia de seguridad del registro antes de editarlo.

Para restringir las asignaciones automáticas a un solo usuario:

En cada Controller del sitio, establece la siguiente entrada del registro:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Deshabilitar la asignación de varios usuarios, 1 = (Predeterminado) Habilitar la asignación de varios usuarios.

Si hay asignaciones de usuario existentes, quítalas usando comandos SDK para que el VDA sea posteriormente elegible para una única asignación automática.

  • Quita todos los usuarios asignados del VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Quita el VDA del grupo de entrega: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Reinicia el PC físico de la oficina.

Consideraciones de seguridad y prácticas recomendadas
March 18, 2026
Contribución de: 
C
March 18, 2026
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.