Configurar directivas

Utilice la Consola de directivas de grabación de sesiones para crear y activar las directivas que determinan qué sesiones se grabarán y qué eventos se grabarán en esas sesiones.

Importante:

Para usar la Consola de directivas de grabación de sesiones, debe tener instalado el complemento Broker PowerShell Snap-in (Broker_PowerShellSnapIn_x64.msi). El instalador no instala automáticamente este complemento. Busque el complemento en la imagen ISO de Citrix Virtual Apps and Desktops (\layout\image-full\x64\Citrix Desktop Delivery Controller) y siga las instrucciones para instalarlo manualmente. Si no se siguen las instrucciones puede producirse un error.

Directivas de grabación

Puede activar las directivas de grabación que define el sistema, disponibles cuando se instala la Grabación de sesiones, o puede crear y activar sus propias directivas de grabación personalizadas. La grabación definida por el sistema aplica una sola regla a todos los usuarios, aplicaciones publicadas y servidores. Las directivas de grabación personalizadas sirven para especificar a los usuarios, las aplicaciones publicadas y los servidores que se graban.  

La directiva de grabación activa determina las sesiones que se graban. Solamente una directiva de grabación está activa en un momento dado.

Directivas de grabación definidas por el sistema

La Grabación de sesiones ofrece las siguientes directivas de grabación definidas por el sistema:

  • No grabar. Ésta es la directiva predeterminada. Si no especifica otra directiva, no se grabarán sesiones.
  • Grabar a todos con notificación. Si elige esta directiva, se grabarán todas las sesiones. Aparecerá una ventana emergente que notificará que se graba la sesión.
  • Grabar a todos sin notificación. Si elige esta directiva, se grabarán todas las sesiones. No aparecerá ninguna ventana emergente para notificar que se graba la sesión.

No se pueden modificar ni eliminar las directivas de grabación definidas por el sistema.

Crear una directiva de grabación personalizada

Cuando crea su propia directiva de grabación, crea reglas para especificar a usuarios o grupos, aplicaciones publicadas o escritorios, grupos de entrega o máquinas VDA, así como direcciones IP del cliente de la aplicación Citrix Workspace cuyas sesiones se graban. La Consola de directivas de grabación de sesiones cuenta con un asistente para ayudarle a crear reglas. Para obtener la lista de aplicaciones o escritorios publicados y la lista de grupos de entrega o máquinas VDA, debe tener el permiso de lectura como administrador del sitio. Puede configurar el permiso de lectura del administrador en el Delivery Controller del sitio.

Para cada regla que se cree, hay que especificar una acción de grabación y un criterio de regla. La acción de grabación se aplica a las sesiones que cumplan con el criterio de la regla.

Para cada regla seleccione una acción de grabación:

  • No grabar. (Seleccione Inhabilitar la grabación de sesiones en el asistente de reglas.) Esta acción de grabación especifica que no se grabarán las sesiones que cumplan el criterio de la regla.
  • Grabar con notificación. (Seleccione Habilitar la grabación de sesiones con notificación en el asistente de reglas.) Esta acción de grabación especifica que se grabarán las sesiones que cumplan el criterio de la regla. Aparecerá una ventana emergente que notificará que se graba la sesión.
  • Grabar sin notificación. (Seleccione Habilitar la grabación de sesiones sin notificación en el asistente de reglas.) Esta acción de grabación especifica que se grabarán las sesiones que cumplan el criterio de la regla. Los usuarios no saben que se está grabando su sesión.

Para cada regla, elija al menos una de las siguientes opciones para crear el criterio de regla:

  • Usuarios o grupos. Crea una lista de usuarios o grupos a los que se aplica la acción de la regla. La Grabación de sesiones permite usar grupos de Active Directory y poner a usuarios en una lista blanca.
  • Recursos publicados. Crea una lista de aplicaciones publicadas o escritorios publicados a los que se aplica la acción de la regla. En el asistente de reglas, elija el sitio o sitios de Citrix Virtual Apps and Desktops donde están disponibles los escritorios o las aplicaciones.
  • Grupos de entrega o máquinas. Crea una lista de máquinas o grupos de entrega a los que se aplicará la acción de la regla. En el asistente de reglas, elija la ubicación donde residen las máquinas o los grupos de entrega.
  • Dirección IP o intervalo de IP. Crea una lista de direcciones IP o intervalos de direcciones IP a las que se aplica la acción de la regla. En la pantalla Seleccionar dirección IP y rango de IP, agregue una dirección IP o intervalo IP válido para los que la grabación estará habilitada o inhabilitada. Las direcciones IP mencionadas aquí son las direcciones IP de las aplicaciones de Citrix Workspace.

Nota:

La Consola de directivas de grabación de sesiones permite configurar varios criterios en una sola regla. Cuando se aplica una regla, se utilizan los operadores lógicos “AND” y “OR” para calcular la acción final. En términos generales, el operador “OR” se utiliza entre elementos de un criterio, y el operador “AND” se utiliza entre criterios independientes. Si el resultado es true, el motor de la directiva Grabación de sesiones toma la acción de la regla. De lo contrario, pasa a la siguiente regla y repite el proceso.

Cuando se crea más de una regla en la directiva de grabación, algunas sesiones pueden cumplir el criterio de más de una regla. En estos casos, la regla con la prioridad mayor es la que se aplica a las sesiones.

La acción de grabación de una regla determina su prioridad:

  • Las reglas con la acción No grabar tienen mayor prioridad.
  • Las reglas con la acción Grabar con notificación tienen el siguiente nivel de prioridad.
  • Las reglas con la acción Grabar sin notificación tienen el nivel más bajo de prioridad.

Es posible que algunas sesiones no cumplan ningún criterio de regla en una directiva de grabación. Para estas sesiones, se aplica la acción de la regla alternativa de las directivas. La acción de la regla alternativa siempre es No grabar. No se puede modificar ni eliminar la regla alternativa.

Para crear una directiva de grabación personalizada:

  1. Inicie la sesión como administrador de directivas autorizado en el servidor donde está instalada la Consola de directivas de grabación de sesiones.
  2. Inicie la Consola de directivas de grabación de sesiones y seleccione Directivas de grabación en el panel izquierdo. En la barra de menú, elija Acción > Agregar nueva directiva.
  3. Haga clic con el botón secundario en Nueva directiva y seleccione Agregar regla.
  4. Seleccione una opción de grabación. En el Asistente de reglas, seleccione Inhabilitar la grabación de sesiones, Habilitar la grabación de sesiones con notificación (o sin notificación) y, a continuación, haga clic en Siguiente.
  5. Seleccione los criterios de regla. Puede elegir uno o varios criterios de regla: Usuarios o grupos
    Recursos publicados
    Grupos de entrega o máquinas
    Dirección IP o intervalo de IP
  6. Para modificar el criterio de la regla, haga clic en los valores subrayados. Los valores se subrayan en función de los criterios que eligió en el paso anterior.

    Nota:

    Tenga en cuenta que, si elige el valor subrayado de Recursos publicados, la Dirección del sitio es la dirección IP, una URL o un nombre de máquina si el Controller está en una red local. La lista Nombre de aplicación muestra el nombre simplificado.

  7. Siga las instrucciones del asistente para completar la configuración.

Nota: Existe una limitación de las sesiones de aplicación preiniciadas:

  • Si la directiva activa intenta que el nombre de aplicación coincida, las aplicaciones iniciadas en la sesión preiniciada no coincidirán, lo que provoca que la sesión no se grabe.
  • Si la directiva activa graba todas las aplicaciones, cuando el usuario inicie sesión en la aplicación Citrix Workspace para Windows (al mismo tiempo que se establece la sesión preiniciada), aparecerá una notificación de la grabación y se grabará la sesión preiniciada (vacía), así como las aplicaciones que se inicien más tarde en esa sesión.

Como solución temporal, publique las aplicaciones en grupos de entrega diferentes, distribuidas según la directiva de grabación. No use el nombre de la aplicación como condición de grabación. Esto garantiza que se grabarán las sesiones preiniciadas. Sin embargo, las notificaciones seguirán apareciendo.

Usar grupos de Active Directory

La función Grabación de sesiones permite el uso de grupos de Active Directory al crear directivas. El uso de los grupos de Active Directory en lugar de usuarios individuales simplifica la creación y manejo de las reglas y directivas. Por ejemplo, si los usuarios del departamento financiero de la empresa se encuentran en un grupo de Active Directory denominado Finanzas, puede crear una regla que se aplique a todos los miembros de este grupo al seleccionar el grupo Finanzas en el Asistente de reglas cuando cree dicha regla.

Usuarios de la lista blanca

Se pueden crear directivas de grabación de sesiones que aseguren que las sesiones de algunos usuarios de la empresa nunca se graben. A estos se les llama usuarios de la lista blanca. Poner a un usuario en la lista blanca es útil para los usuarios que manejan información relacionada con la privacidad o cuando su organización no desea registrar las sesiones de cierta clase de empleados.

Por ejemplo, si todos los jefes en la empresa son miembros del grupo de Active Directory denominado Ejecutivos, puede hacer que las sesiones de estos usuarios nunca se grabarán con la creación de una regla que desactive el grabado de sesiones para el grupo Ejecutivos. Mientras la directiva que contiene esta regla esté activa, ninguna sesión de los miembros del grupo Ejecutivo se grabará. Las sesiones de los demás miembros de la empresa se graban según las otras reglas de la directiva activa.

Configurar Director para usar el Servidor de grabación de sesiones

Puede utilizar la consola de Director para crear y activar las directivas de grabación.

  1. Para una conexión HTTPS, instale el certificado para confiar en el Servidor de grabación de sesiones en los Certificados raíz de confianza del servidor de Director.
  2. Si quiere configurar el servidor de Director para usar el Servidor de grabación de sesiones, ejecute el comando: C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording.
  3. Escriba la dirección IP o el nombre FQDN del Servidor de grabación de sesiones, el número de puerto y el tipo de conexión (HTTP o HTTPS) que usa el Agente de grabación de sesiones para conectarse al Broker de grabación de sesiones en el servidor de Director.

Directivas de registro de eventos

A partir de la versión 1811, la Grabación de sesiones admite la configuración centralizada de las directivas de registro de eventos. En lugar de modificar el Registro en cada VDA para registrar la inserción de dispositivos de almacenamiento masivo USB e inicios y cierres de aplicaciones, ahora puede crear directivas en la Consola de directivas de grabación de sesiones para registrar estos eventos.

Nota:

Para que la función se ejecute correctamente, actualice los componentes de administración de la Grabación de sesiones (Base de datos de grabación de sesiones, Servidor de grabación de sesiones y Consola de directivas de grabación de sesiones) y el Agente de grabación de sesiones a la versión 1811 o posterior.

Nota:

Sigue siendo necesario modificar el Registro para los eventos de las operaciones del archivo de registro. Para obtener más información, consulte Registrar eventos.

Directiva de registro de eventos definida por el sistema

La directiva de registro de eventos definida por el sistema es No registrar. Está inactiva de forma predeterminada. Cuando está activa, no se registran eventos.

No se puede modificar ni eliminar la directiva de registro de eventos definida por el sistema.

Crear una directiva de registro de eventos personalizada

Cuando crea su propia directiva de registro de eventos, crea reglas para especificar a usuarios o grupos, aplicaciones o escritorios publicados, grupos de entrega o máquinas VDA, así como direcciones IP del cliente de la aplicación Citrix Workspace cuyos eventos específicos se registran durante la grabación de sesiones. La Consola de directivas de grabación de sesiones cuenta con un asistente para ayudarle a crear reglas. Para obtener la lista de aplicaciones o escritorios publicados y la lista de grupos de entrega o máquinas VDA, debe tener el permiso de lectura como administrador del sitio. Puede configurar el permiso de lectura del administrador en el Delivery Controller del sitio.

Para crear una directiva de registro de eventos personalizada:

  1. Inicie la sesión como administrador de directivas autorizado en el servidor donde está instalada la Consola de directivas de grabación de sesiones.

  2. Inicie la Consola de directivas de grabación de sesiones. De forma predeterminada, no hay ninguna directiva de registro de eventos activa.

    Imagen localizada

  3. Seleccione Directivas de registro de eventos en el panel izquierdo. En la barra de menús, elija Acción > Agregar nueva directiva para crear una directiva de registro de eventos.

  4. (Opcional) Haga clic con el botón secundario en la nueva directiva de registro de eventos y cambie el nombre.

    Imagen localizada

  5. Haga clic con el botón secundario en la nueva directiva de registro y seleccione Agregar regla.

    1. Especifique uno o varios eventos de destino a supervisar. Para ello, marque la casilla situada junto a cada tipo de evento.

      Imagen localizada

      • Registrar eventos USB asignados por CDM: Registra la inserción de un dispositivo de almacenamiento masivo por CDM (asignación de unidades del cliente) en un dispositivo cliente donde está instalada la aplicación Citrix Workspace para Windows o Mac. Además, etiqueta el evento en la grabación.

      • Registrar eventos genéricos de USB redirigidos: Registra la inserción de un dispositivo de almacenamiento masivo genérico redirigido en un dispositivo cliente donde está instalada la aplicación Citrix Workspace para Windows o Mac. Además, etiqueta el evento en la grabación.

      • Registrar eventos de inicio de aplicaciones: Registra los inicios de las aplicaciones de destino y etiqueta el evento en la grabación.

      • Registrar eventos de cierre de aplicaciones: Registra los cierres de las aplicaciones de destino y etiqueta el evento en la grabación.

        Nota:

        Tenga en cuenta que la Grabación de sesiones no puede registrar el cierre de una aplicación sin registrar el inicio. Por lo tanto, en el asistente de reglas, la casilla Registrar eventos de cierre de aplicaciones está atenuada antes de que se marque Registrar eventos de inicio de aplicaciones.

      • Lista de supervisión de aplicaciones: Cuando marque Registrar eventos de inicio de aplicaciones y Registrar eventos de cierre de aplicaciones, utilice la Lista de supervisión de aplicaciones para especificar las aplicaciones de destino a supervisar y evitar que una cantidad excesiva de eventos sature las grabaciones. De manera predeterminada, no hay ninguna aplicación especificada, lo que significa que no se capturan datos sobre ninguna aplicación.

        Nota:

        • Para registrar el inicio y el cierre de una aplicación, agregue el nombre del proceso de la aplicación a la Lista de supervisión de aplicaciones. Por ejemplo, para capturar el inicio de Conexión a Escritorio remoto, agregue el nombre del proceso mstsc.exe a la Lista de supervisión de aplicaciones.
        • Separe los nombres de proceso con un punto y coma (;).
        • Solo se admite la coincidencia exacta. No se admiten comodines.
        • No se distingue entre mayúsculas y minúsculas en los nombres de proceso que agregue.
        • Para evitar que una cantidad excesiva de eventos sature las grabaciones, no agregue ningún nombre de proceso del sistema (por ejemplo, explorer.exe) ni buscadores Web al registro.
    2. Seleccione y modifique los criterios de regla.

      Al igual que en la creación de una directiva de grabación personalizada, puede elegir uno o varios criterios de regla: “Usuarios o grupos”, “Recursos publicados”, “Grupos de entrega o máquinas” y “Dirección IP o intervalo de IP”. Para obtener más información, consulte las instrucciones de la sección Crear una directiva de grabación personalizada.

      Nota:

      Es posible que algunas sesiones no cumplan ningún criterio de regla en una directiva de registro de eventos. Para estas sesiones, se aplica la acción de registro de eventos que indique la regla alternativa, que siempre es No registrar. No se puede modificar ni eliminar la regla alternativa.

    3. Siga el asistente para completar la configuración.

      Imagen localizada

Nota:

Las directivas de registro de eventos configuradas a través de la Consola de directivas de grabación de sesiones no se pueden utilizar para sesiones grabadas dinámicamente.

Compatibilidad con configuraciones del Registro

Cuando la Grabación de sesiones se acaba de instalar o actualizar, no hay ninguna directiva de registro de eventos activa disponible de forma predeterminada. En ese momento, cada Agente de grabación de sesiones respeta las claves de Registro ubicadas en HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\SessionEvents para determinar si registrar eventos específicos. Para ver una descripción de las claves de Registro, consulte la tabla siguiente:

Clave de Registro Descripción
EnableSessionEvents 1: Habilita el registro de eventos globalmente; 0: Inhabilita el registro de eventos globalmente (valor predeterminado)
EnableCDMUSBDriveEvents 1: Habilita registros sobre la inserción de dispositivos USB de almacenamiento masivo asignados a unidades del cliente; 0: Inhabilita registros sobre la inserción de dispositivos USB de almacenamiento masivo asignados a unidades del cliente (valor predeterminado)
EnableGenericUSBDriveEvents 1: Habilita el registro de la inserción de dispositivos de almacenamiento masivo USB genéricos redirigidos; 0: Inhabilita el registro de la inserción de dispositivos de almacenamiento masivo USB genéricos redirigidos (valor predeterminado)
EnableAppLaunchEvents 1: Habilita el registro de solo los inicios de aplicación; 2: Habilita el registro de los inicios y los cierres de aplicación; 0: Inhabilita el registro de inicios y cierres de aplicación (valor predeterminado)
AppMonitorList Especifica las aplicaciones a supervisar. De manera predeterminada, no hay ninguna aplicación especificada, lo que significa que no se capturan datos sobre ninguna aplicación. Para obtener más información, consulte Especificar aplicaciones de destino a supervisar.

Estos son algunos de los casos compatibles:

  • La Grabación de sesiones 1811 acaba de instalarse o actualizarse desde una versión anterior que no admite el Registro de eventos. Los valores de las claves de Registro que constan en cada Agente de grabación de sesiones son los predeterminados. Dado que no hay ninguna directiva de registro de eventos activa de forma predeterminada, no se registran eventos.

  • Si la Grabación de sesiones 1811 se ha actualizado desde una versión anterior que admite el Registro de eventos, pero tiene la función inhabilitada antes de la actualización, los valores de las claves de Registro relacionadas en cada Agente de grabación de sesiones siguen siendo los predeterminados. Dado que no hay ninguna directiva de registro de eventos activa de forma predeterminada, no se registran eventos.

  • Si la Grabación de sesiones 1811 se actualiza desde una versión anterior que admite el Registro de eventos, y tiene la función habilitada parcial o totalmente antes de la actualización, los valoresde las claves de Registro relacionadas en cada Agente de grabación de sesiones siguen siendo los mismos. Dado que no hay ninguna directiva de registro de eventos activa de forma predeterminada, el comportamiento del registro de eventos sigue siendo el mismo.

Precaución:

Al activar una directiva de registro de eventos definida por el sistema o personalizada en la Consola de directivas de grabación de sesiones, se omiten los parámetros pertinentes de Registro en cada Agente de grabación de sesiones. Además, ya no se pueden utilizar los parámetros de Registro para registrar eventos.

Activar una directiva

  1. Inicie sesión como administrador en la máquina donde instaló la Consola de directivas de grabación de sesiones.
  2. Inicie la Consola de directivas de grabación de sesiones.
  3. Si aparece la ventana emergente Conectar con el servidor de grabación de sesiones, compruebe que el nombre del Servidor de grabación de sesiones, el protocolo y el puerto son correctos. Haga clic en Aceptar.
  4. En la Consola de directivas de grabación de sesiones, expanda Directivas de grabación o Directivas de registro de eventos, según convenga.
  5. Seleccione la directiva que quiere activar.
  6. En la barra de menús, elija Acción > Activar directiva.

Modificar una directiva

  1. Inicie sesión como administrador en la máquina donde instaló la Consola de directivas de grabación de sesiones.
  2. Inicie la Consola de directivas de grabación de sesiones.
  3. Si aparece la ventana emergente Conectar con el servidor de grabación de sesiones, compruebe que el nombre del Servidor de grabación de sesiones, el protocolo y el puerto son correctos. Haga clic en Aceptar.
  4. En la Consola de directivas de grabación de sesiones, expanda Directivas de grabación o Directivas de registro de eventos, según convenga.
  5. Seleccione la directiva que quiere modificar. Las reglas para esta directiva aparecen en el panel derecho.
  6. Para agregar, modificar o eliminar una regla:
    • En la barra de menús, elija Acción > Agregar nueva regla. Si la directiva está activa, aparece una ventana emergente solicitando que se confirme la acción. Utilice el Asistente de reglas para crear una regla.
    • Seleccione la regla que desea modificar, haga clic con el botón secundario y elija Propiedades. Use el asistente de reglas para modificar la regla.
    • Seleccione la regla que desea eliminar, haga clic con el botón secundario y elija Eliminar regla.

Eliminar una directiva

Nota:

No se puede eliminar una directiva del sistema o una directiva que está activa.

  1. Inicie sesión como administrador en la máquina donde instaló la Consola de directivas de grabación de sesiones.
  2. Inicie la Consola de directivas de grabación de sesiones.
  3. Si aparece la ventana emergente Conectar con el servidor de grabación de sesiones, compruebe que el nombre del Servidor de grabación de sesiones, el protocolo y el puerto son correctos. Haga clic en Aceptar.
  4. En la Consola de directivas de grabación de sesiones, expanda Directivas de grabación o Directivas de registro de eventos, según convenga.
  5. En el panel izquierdo, seleccione la directiva a eliminar. Si la directiva está activa, debe activar otra directiva.
  6. En la barra de menús, elija Acción > Eliminar directiva.
  7. Seleccione para confirmar la acción.

Comportamiento de la función Renovar

Cuando se activa una directiva, la directiva anteriormente activa permanece en efecto hasta que finaliza la sesión que se está grabando o se renueve el archivo de la grabación. Los archivos se renuevan cuando llegan al límite de tamaño máximo. Para obtener información acerca del tamaño máximo de archivo para las grabaciones, consulte Especificar el tamaño del archivo para las grabaciones.

En la siguiente tabla se indica detalladamente lo que sucede cuando se aplica una nueva directiva mientras se graba una sesión y se da una renovación:

Si la directiva de grabación anterior era: Y la nueva directiva de grabación es: Después de una renovación, la directiva de grabación será:
No grabar Cualquier otra directiva Sin cambios. La nueva directiva entra en efecto solamente cuando el usuario inicia una nueva sesión.
Grabar sin notificación No grabar La grabación se detiene.
Grabar sin notificación Grabar con notificación La grabación continúa y aparece un mensaje de notificación.
Grabar con notificación No grabar La grabación se detiene.
Grabar con notificación Grabar sin notificación La grabación continúa. La próxima vez que el usuario inicia una sesión no aparece ningún mensaje.
Version

Configurar directivas