Usar perfiles de Windows con Password Manager y Single Sign-On

Este tema no contiene ningún tipo de información específica sobre Profile Management. Le explica cómo configurar algunas opciones de Windows para que Citrix Single Sign-on funcionen de manera óptima con los perfiles locales, móviles, obligatorios e híbridos. Este tema es aplicable a Citrix Single Sign-on 4.8 o 5.0.

Perfiles locales

Los perfiles locales se almacenan en el servidor local en el que ha iniciado sesión el usuario. Password Manager y Single Sign-on guardan información del Registro en el subárbol de Password Manager HKCU\Software\Citrix\MetaFrame del Registro del usuario ubicado en:

%SystemDrive%\Documents and Settings\%username%\NTUSER.DAT.

Los archivos también se guardan en:

%SystemDrive%\Documents and Settings\%username%\Application Data\Citrix\MetaFrame Password Manager.

En Windows 7, Single Sign-on utiliza:

%APPDATA%\Roaming\Citrix\MetaFrame Password Manager

Importante: Es muy importante que Single Sign-on tenga acceso de control total para los siguientes archivos:

Nombre del archivo Descripción
%username%.mmf Archivo de información de las credenciales del usuario con punteros al archivo aelist.ini.
entlist.ini Archivo de definición de aplicación creado a nivel empresarial en el punto de sincronización o en Active Directory.
aelist.ini Archivo de definición de aplicación creado al combinar el archivo de definición de aplicación local (applist.ini) y las definiciones de aplicación de la organización (entlist.ini).

Perfiles móviles

Los perfiles móviles se guardan en un punto compartido de red y se sincronizan mediante una copia a un servidor local cada vez que el usuario inicia sesión. Entre las características de una implementación de perfil móvil exitosa se encuentran una conectividad de red de alta velocidad, como SAN (red de área de sistema) o NAS (almacenamiento de área de red). Otras implementaciones comunes consisten en soluciones de clústeres, donde los perfiles se almacenan en servidores de alta disponibilidad.

Existen dos problemas que afectan a las implementaciones de perfiles obligatorios:

  • Solo puede usarse un perfil móvil con un punto de sincronización de archivos. Cuando se utilizan varios puntos de sincronización, pueden dañarse los datos incluidos en el archivo de memoria asignada (MMF).
  • Cuando se usan perfiles móviles con varias sesiones simultáneas, comparten el mismo MMF central. Esto significa que todas las sesiones activas comparten algunos datos de sesión comunes, como contadores de bloqueo de reintentos, contadores de último acceso a los datos y entradas en el registro de eventos.

Perfiles obligatorios o híbridos

Por definición, los perfiles obligatorios son perfiles del usuario de solo lectura. Single Sign-on necesita permisos de escritura para la carpeta del perfil en Application Data. En los perfiles obligatorios, un usuario puede realizar cambios, pero estos no se guardan en el perfil al cerrar la sesión. Para que Single Sign-on funcione correctamente con los perfiles obligatorios, debe redirigirse la carpeta Application Data.

Los cambios se escriben en el Registro cada vez que el usuario inicia sesión. Se sincroniza la información de credenciales con el punto de sincronización, pero los cambios no se guardan en el perfil.

A partir de Windows 2000, Microsoft ofrece un mecanismo para redirigir la carpeta Application Data. Sin embargo, el uso de dominios Windows NT4 requiere secuencias de comandos de inicio de sesión capaces de modificar la ubicación de la carpeta Application Data. Puede lograrlo con herramientas como Kix o VBScript para definir una ubicación con permisos de escritura para la carpeta Application Data.

El siguiente ejemplo utiliza Kix para redirigir la carpeta Application Data durante el inicio de sesión del usuario:

Importante: este script de ejemplo es solo para fines informativos y no debe usarse en su entorno sin antes probarlo.

``` pre codeblock

$LogonServer = “%LOGONSERVER%” $HKCU = “HKEY_CURRENT_USER” $ShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders” $UserShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders” $UserProfFolder = “$LogonServer\profiles@userID” $UserAppData = “$LogonServer\profiles@userID\Application Data” $UserDesktop = “$LogonServer\profiles@userID\Desktop” $UserFavorites = “$LogonServer\profiles@userID\Favorites” $UserPersonal = “X:\My Documents” $UserRecent = “$LogonServer\profiles@userID\Recent” if (exist(“$UserAppData”) = 0) shell ‘%ComSpec% /c md “$UserAppData”’ endif if (exist(“$UserDesktop”) = 0) shell ‘%ComSpec% /c md “$UserDesktop”’ endif if (exist(“$UserRecent”) = 0) shell ‘%ComSpec% /c md “$UserRecent”’ endif if (exist(“$UserFavorites”) = 0) shell ‘%ComSpec% /c md “$UserFavorites”’ endif ```

El perfil híbrido es otra solución para el problema del perfil obligatorio. Cuando el usuario inicia sesión, se carga el perfil obligatorio y una aplicación personalizada carga y descarga subárboles del registro de usuario basados en las aplicaciones disponibles para el usuario. Al igual que en el caso de los perfiles obligatorios, el usuario puede modificar esas partes del registro durante una sesión. En comparación con los perfiles obligatorios, la diferencia consiste en que los cambios se guardan cuando el usuario cierra sesión, y se vuelven a cargar al iniciar sesión nuevamente.

Si se utiliza un perfil híbrido, deben importarse y exportarse las claves del registro HKEY_CURRENT_USER\Software\Citrix\MetaFrame Password como parte del proceso de inicio y cierre de sesión.

Redirección de carpetas

La redirección de carpetas se implementa con objetos de directiva de grupo y Active Directory. Utiliza directivas de grupo para definir la ubicación de las carpetas que forman parte del perfil del usuario.

Pueden redirigirse cuatro carpetas:

  • Mis documentos
  • Datos de programa
  • Escritorio
  • Menú Inicio

Pueden configurarse dos modos de redirección a través de las directivas de grupo: redirección básica y redirección avanzada. Ambos son compatibles con Single Sign-on. En Windows 2000, debe hacer referencia al recurso compartido que almacena los datos de la aplicación con la variable de nombre de usuario, (por ejemplo, \\servername\sharename\%username%).

La redirección de carpetas es global para el usuario, y afecta a todas sus aplicaciones. Esto significa que debe existir compatibilidad con todas las aplicaciones que utilizan la carpeta Application Data.

Para obtener más información sobre la redirección de carpetas, lea los siguientes artículos de Microsoft:

CÓMO HAGO PARA… Crear carpetas redirigidas seguras de forma dinámica a través de la redirección de carpetas

Función de redirección de carpetas en Windows

Permitir que el administrador acceda a las carpetas redirigidas

Procedimientos recomendados

  • Redirija las carpetas Application Data siempre que sea posible. Esto mejora el rendimiento de la red y elimina la necesidad de copiar los datos en esas carpetas cada vez que un usuario inicia sesión.
  • Al resolver problemas de Password Manager Agent, siempre verifique que el usuario que inició sesión posea permiso de control total sobre su carpeta Application Data.

Usar perfiles de Windows con Password Manager y Single Sign-On