Product Documentation

Cómo impedir el acceso del usuario al escritorio local

Nov 11, 2015

Use Desktop Lock cuando los usuarios no necesiten interactuar con el escritorio local. En este escenario de acceso, el escritorio virtual prácticamente reemplaza al escritorio local; por lo tanto, el usuario puede interactuar con el escritorio virtual como si fuera local.

Desktop Lock es un componente separado que se incluye con XenApp, XenDesktop y Citrix VDI-in-a-Box. Es una alternativa a Desktop Viewer que se ha diseñado principalmente para equipos Windows reasignados y clientes ligeros Windows. Desktop Lock utiliza un shell sustituto de Windows, en el que no se muestra ningún menú Inicio, para impedir que los usuarios accedan al sistema operativo local. También se utiliza un sustituto para el Administrador de tareas de Windows.

Con Desktop Lock, los usuarios pueden acceder a escritorios desde grupos de entrega con sistema operativo de escritorio y de servidor.

Requisitos del sistema para Desktop Lock

Use Desktop Lock cuando los usuarios no necesiten interactuar con el escritorio local. En este escenario de acceso, el escritorio virtual prácticamente reemplaza al escritorio local; por lo tanto, el usuario puede interactuar con el escritorio virtual como si fuera local.

Desktop Lock es un componente separado que se incluye con XenApp, XenDesktop y Citrix VDI-in-a-Box. Es una alternativa a Desktop Viewer que se ha diseñado principalmente para equipos Windows reasignados y clientes ligeros Windows. Desktop Lock utiliza un shell sustituto de Windows, en el que no se muestra ningún menú Inicio, para impedir que los usuarios accedan al sistema operativo local. También se utiliza un sustituto para el Administrador de tareas de Windows.

Con Desktop Lock, los usuarios pueden acceder a escritorios desde grupos de entrega con sistema operativo de escritorio y de servidor.

Sistema operativo

Desktop Lock está respaldado en los siguientes sistemas operativos de dispositivo de usuario: Solo se dan detalles de la edición o Service Pack en los casos en que el respaldo es limitado:

  • Windows 7, ediciones de 32 y 64 bits (y Embedded Edition)
  • Windows XP Professional, ediciones de 32 bits y 64 bits
  • Windows XP Embedded
  • Windows Vista, ediciones de 32 y 64 bits
Nota: El respaldo para Windows XP finalizó el 8 de abril de 2014, fecha en que Microsoft puso fin al periodo extendido de respaldo para Windows XP. Se continuará dando respaldo para Windows XP Embedded.

Receiver

Paquete Citrix Receiver para Windows Enterprise 3.4

Entorno

Los dispositivos de usuario que ejecutan Desktop Lock solo se respaldan cuando están conectados a una red de área local (LAN).

Instalaciones unidas a dominio y no unidas a dominio

Desktop Lock puede instalarse tanto en dispositivos de usuario que pertenecen a un dominio como en dispositivos que no pertenecen a ningún dominio. El comportamiento del sistema y la experiencia del usuario en los diferentes tipos de dispositivo varían levemente.

En las instalaciones unidas a dominio, el dispositivo de usuario Windows está unido a un dominio de Active Directory. En estas instalaciones:

  • Los dispositivos de usuario acceden a los almacenes de StoreFront a través de direcciones URL de Servicios XenApp. También se puede utilizar VDI-in-a-Box.
  • El Agente de Program Neighborhood reemplaza el shell del Explorador de Windows e inicia el primer escritorio disponible que se muestra en orden alfabético en un grupo de escritorios asignado.
  • El shell sustituto de Desktop Lock no anula el shell del administrador.
  • El Administrador de tareas de Windows se reemplaza por una versión con la que los usuarios pueden reiniciar el escritorio virtual o en la que la combinación de teclas Ctrl+Alt+Supr se transfiere a la sesión de escritorio.
  • En los dispositivos de usuario con Windows XP, la combinación de teclas Ctrl+Alt+Supr invoca al Administrador de tareas sustituto.
  • El dispositivo de usuario simula el motivo de una sesión desconectada o finalizada. Por ejemplo, si el usuario apaga el escritorio virtual (terminando así la sesión), el dispositivo también se apaga.

Los principales usuarios de las instalaciones no unidas a dominio son los proveedores de terminales Windows que no pertenecen a ningún dominio de Active Directory. En estas instalaciones:

  • Los dispositivos de usuario acceden a los almacenes de StoreFront a través de sitios de Desktop Appliance.
  • Los dispositivos de usuario están configurados para iniciar automáticamente la sesión del usuario y abrir Internet Explorer en modo de pantalla completa (quiosco). No aparece una página de inicio de sesión en dominio.
  • El único punto de acceso es el sitio de Desktop Appliance con el que se inicia el primer escritorio disponible que se muestra en orden alfabético en un grupo de entrega asignado.
  • Una versión del Administrador de tareas de Windows transfiere la combinación de teclas Ctrl+Alt+Supr a la sesión de escritorio.

Respaldo para varios monitores

Desktop Lock admite un máximo de ocho monitores. El escritorio virtual se muestra en todos los monitores. El monitor principal en el dispositivo se convierte en el monitor principal de la sesión de escritorio virtual.

Entradas de teclado en las sesiones de Desktop Lock

En las sesiones de Desktop Lock, la combinación de teclas "Tecla del logotipo de Windows + L" se redirige al equipo local. En la mayoría de los casos, Ctrl + Alt + Supr se redirige al equipo local. Mayús + F2 no se puede usar para cambiar una sesión de escritorio de pantalla completa al modo de ventana. No obstante, esta combinación de teclas se puede usar en cualquier sesión de aplicación dentro de la sesión de escritorio.

Ctrl + Esc y Alt + Tab se envían al escritorio virtual remoto.

Las pulsaciones de teclas que activan StickyKeys, FilterKeys y ToggleKeys (características de accesibilidad de Microsoft) siempre se transfieren al equipo local.
Nota: Desktop Lock y Desktop Viewer tratan de forma diferente algunas de las combinaciones de teclas de Windows. La información sobre Desktop Viewer está incluida en la documentación de Receiver.

Instalar o quitar Desktop Lock

Para instalar Desktop Lock

Este procedimiento instala el plug-in de Receiver para Windows para que los escritorios virtuales se muestren mediante Desktop Lock. No use este procedimiento si desea que Desktop Viewer, incluido junto con Receiver, esté disponible para los usuarios.

Cuando instala Desktop Lock, el sistema usa un shell sustituto. Para poder administrar el dispositivo de usuario una vez finalizada la instalación, la cuenta que se utilizó para instalar CitrixDesktopLock.msi se excluye del shell sustituto. Si la cuenta que se utilizó para instalar CitrixDesktopLock.msi se elimina posteriormente, ya no podrá iniciar sesión ni administrar el dispositivo.

Citrix no recomienda usar shells personalizados, ya que podrían interferir con el shell sustituto que se usa para las sesiones de Desktop Lock.

Los usuarios deben usar cuentas de dominio para acceder a escritorios mediante Desktop Lock. No pueden usar cuentas locales.

  1. Inicie una sesión en el equipo como administrador local.
  2. En un símbolo del sistema, ejecute CitrixReceiverEnterprise.exe con la siguiente sintaxis. Este archivo está ubicado en la carpeta llamada Citrix Receiver and Plug-ins\Windows\Receiver en los medios de instalación:
    CitrixReceiverEnterprise.exe ADDLOCAL="ReceiverInside,ICA_Client,SSON,USB,DesktopViewer, Flash,PN_Agent,Vd3d" SERVER_LOCATION="my.server" ENABLE_SSON="Yes"

    Para obtener información sobre las propiedades usadas en este comando, consulte el tema Configuración e instalación de Receiver para Windows mediante parámetros de línea de comandos en la documentación de Receiver para Windows.

  3. Escriba la dirección URL del sitio de Servicios donde se encuentran los escritorios virtuales. El formato de la dirección URL debe ser el siguiente: http://nombre_de_servidor, o bien, https://nombre_de_servidor. Si utiliza hardware o software para equilibrio de carga o conmutación por error, puede ingresar una dirección de carga equilibrada.
    Importante: Compruebe que la URL que introduzca sea correcta. Si la dirección URL se escribe mal o si se deja el campo sin completar y el usuario no ingresa una dirección URL válida cuando se le solicite después de la instalación, no habrá ningún escritorio virtual ni escritorio local disponible.
  4. En los medios de instalación, vaya a la carpeta Citrix Receiver and Plug-ins\Windows\Receiver y haga doble clic en CitrixDesktopLock.msi. Se muestra el asistente de Citrix Desktop Lock.
  5. Lea y acepte el contrato de licencia de Citrix. A continuación, haga clic en Instalar. Se mostrará la página Progreso de la instalación.
  6. En el cuadro de diálogo Instalación finalizada haga clic en Cerrar.
  7. Cuando se le solicite, reinicie el dispositivo de usuario. Si se le ha garantizado acceso a un escritorio e inicia sesión como un usuario de dominio, se mostrará el dispositivo reiniciado desde Desktop Lock.

Cómo quitar Desktop Lock

  1. Inicie una sesión con las mismas credenciales de administrador local que se usaron para instalar Desktop Appliance Lock.
  2. Ejecute la utilidad Agregar o quitar programas que se encuentra en el Panel de control.
  3. Quite Citrix Desktop Lock.
  4. Quite Citrix Receiver o Citrix Receiver (Enterprise).

Configuración de Desktop Lock

Importante: Use una cuenta de administrador para configurar Desktop Lock. Debe ser la misma cuenta que usó para la instalación.
Para configurar Desktop Lock con la directiva de grupo, cargue los siguientes archivos ADM en Configuración del equipo o Configuración de usuario > Plantillas administrativas > Plantillas administrativas clásicas (ADM) > Componentes de Citrix:
  • icaclient.adm:: Para obtener este archivo, consulte Cómo habilitar el uso de tarjetas inteligentes.
  • icaclient_usb.adm: Este archivo se encuentra en el directorio %SystemDrive%:\Archivos de programa\Citrix\ICA Client\Configuration\en.

Consideraciones que se deben tener en cuenta al configurar Desktop Lock

Otorgue acceso solamente a un escritorio virtual por usuario que ejecuta Desktop Lock.

No permita que los usuarios habiliten el modo de hibernación en los escritorios virtuales. Use directivas de Active Directory para evitarlo.

Para configurar las preferencias USB

Cuando un usuario conecta un dispositivo USB, ese dispositivo se comunica de forma remota automáticamente con el escritorio virtual. No se requiere interacción de parte del usuario. El escritorio virtual es el que controla el dispositivo USB y lo muestra en la interfaz de usuario.
  1. Para activar el respaldo USB en implementaciones de XenApp o XenDesktop, habilite la regla de directivas USB. Para obtener más información, consulte Configuraciones de directiva de Dispositivos USB.
  2. En Citrix Receiver > Remoting client devices > Generic USB Remoting, habilite y configure las directivas Existing USB Devices, New USB Devices y USB Devices List In Desktop Viewer. Use la directiva Show all devices para mostrar todos los dispositivos USB conectados, incluyendo aquellos que usan el canal virtual USB genérico (por ejemplo, cámaras Web y dispositivos USB portátiles).

Para configurar la asignación de unidades

En Citrix Receiver > Remoting client devices, habilite y configure la directiva Client drive mapping.

Para configurar un micrófono

En Citrix Receiver > Remoting client devices, habilite y configure la directiva Client microphone.

Configuración de tarjetas inteligentes para usarlas con dispositivos que ejecutan Desktop Lock

Actualizado: 05-03-2015

Este tema proporciona una visión general de cómo preparar Citrix StoreFront, Citrix Desktop Lock y dispositivos de escritorio (Desktop Appliance) para funcionar con tarjetas inteligentes.

Estas instrucciones son aplicables a la versión de Desktop Lock incluida con Citrix Receiver 3.4 para Windows Enterprise. Para configurar la versión de Desktop Lock incluida con Citrix 4.2, consulte las instrucciones en Receiver Desktop Lock.

  1. Configure StoreFront. Consulte Instalación y configuración de StoreFront para obtener más detalles.
    1. Configure XML Service para usar resolución de direcciones DNS para dar respaldo a Kerberos.
    2. Configure los sitios de StoreFront para el acceso mediante HTTPS, cree un certificado de servidor firmado por la entidad de certificación de su dominio y agregue un enlace HTTPS al sitio Web predeterminado.
    3. Asegúrese de que el paso de credenciales PassThrough con tarjeta inteligente está habilitado. Esto está habilitado de manera predeterminada.
    4. Habilite Kerberos.
    5. Habilite Kerberos y PassThrough con tarjeta inteligente.
    6. Habilite el Acceso anónimo en el sitio Web predeterminado de IIS y use la Autenticación de Windows integrada.
    7. Asegúrese de que el sitio Web predeterminado de IIS no requiera SSL e ignore los certificados de cliente.
    8. Habilite la compatibilidad con Servicios XenApp.
  2. Configure directivas de equipos locales en el dispositivo de usuario.
    1. Importe la plantilla icaclient.adm mediante la Consola de administración de directivas de grupo. La plantilla está disponible en %Program Files%\Citrix\ICA Client\Configuration\.
    2. Expanda Plantillas administrativas > Plantillas administrativas clásicas (ADM) > Citrix Components > Citrix Receiver > User authentication.
    3. Habilite Smart card authentication.
    4. Habilite Local user name and password.
  3. Configure el dispositivo del usuario antes de instalar Desktop Lock.
    1. Agregue la dirección URL de Delivery Controller en la lista de Sitios de confianza de Internet Explorer en Windows.
    2. Agregue la dirección URL del primer grupo de escritorios a la lista de Sitios de confianza de Internet Explorer. Use el siguiente formato: desktop://desktop-20group-20name.
    3. Habilite Internet Explorer para usar el inicio de sesión automático para los Sitios de confianza.
  4. Configure el dispositivo del usuario después de instalar Desktop Lock.
    1. Edite la clave de Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PNAgent\ServerURL para que apunte al archivo config.xml de PNAgent del Delivery Controller.
      Advertencia: Si modifica el Registro de forma incorrecta, podrían generarse problemas graves que pueden provocar la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del registro antes de modificarlo.

Si Citrix Desktop Lock está instalado en el dispositivo de usuario, se impone una directiva de extracción de tarjeta inteligente coherente. Por ejemplo, si la directiva de extracción de tarjetas inteligentes de Windows se establece en Forzar cierre de sesión para el escritorio, el usuario debe cerrar la sesión del dispositivo de usuario también, independientemente de cuál sea la directiva de extracción de tarjeta inteligente configurada en el equipo. Esto garantiza que el dispositivo de usuario no quede en un estado inconsistente. Este comportamiento se aplica sólo a los dispositivos de usuario con Desktop Lock, no con Desktop Viewer.