Considerazioni sulla sicurezza e best practice

Nota:

L’organizzazione potrebbe dover soddisfare specifici standard di sicurezza per ottemperare ai requisiti normativi. Questo documento non tratta tale argomento, poiché gli standard di sicurezza cambiano nel tempo. Per informazioni aggiornate sugli standard di sicurezza e sui prodotti Citrix, consultare Citrix Trust Center.

Firewall

Proteggere tutte le macchine nell’ambiente con firewall perimetrali, anche ai confini dell’enclave, ove opportuno.

Tutte le macchine nell’ambiente devono essere protette da un firewall personale. Quando si installano i componenti principali e i VDA, è possibile scegliere di aprire automaticamente le porte necessarie per la comunicazione di componenti e funzionalità se viene rilevato il servizio Windows Firewall (anche se il firewall non è abilitato). È inoltre possibile scegliere di configurare manualmente tali porte del firewall. Se si utilizza un firewall diverso, è necessario configurarlo manualmente. Per ulteriori informazioni sulle porte richieste, vedere Tech Paper: Communication Ports Used by Citrix Technologies.

Se si sta migrando un ambiente convenzionale a questa versione, potrebbe essere necessario riposizionare un firewall perimetrale esistente o aggiungere nuovi firewall perimetrali. Ad esempio, si supponga che esista un firewall perimetrale tra un client convenzionale e un server di database nel data center. Quando si utilizza questa versione, tale firewall perimetrale deve essere posizionato in modo che il desktop virtuale e il dispositivo utente si trovino su un lato, e i server di database e i Delivery Controller nel data center si trovino sull’altro lato. Pertanto, considerare la possibilità di creare un’enclave all’interno del data center per contenere i server di database e i Controller. Considerare anche la protezione tra il dispositivo utente e il desktop virtuale.

Nota:

Le porte TCP 1494 e 2598 sono utilizzate per ICA e CGP e sono quindi probabilmente aperte sui firewall in modo che gli utenti esterni al data center possano accedervi. Citrix consiglia di non utilizzare queste porte per nient’altro, per evitare la possibilità di lasciare inavvertitamente interfacce amministrative esposte ad attacchi. Le porte 1494 e 2598 sono ufficialmente registrate presso l’Internet Assigned Number Authority (http://www.iana.org/).

Comunicazioni sicure con Delivery Controller™

Crittografia delle comunicazioni tramite HTTPS

StoreFront e il gateway NetScaler comunicano con il servizio XML in esecuzione sul delivery controller tramite HTTP o HTTPS. A seconda della configurazione, i VDA possono comunicare con il delivery controller utilizzando WebSocket. Si consiglia di abilitare HTTPS e disabilitare HTTP. Ciò richiede di aver abilitato Abilita HTTPS sui Delivery Controller.

• Per configurare StoreFront per la connessione tramite HTTPS, vedere Aggiungere feed di risorse per Citrix Desktops as a Service e Aggiungere l’appliance Citrix Gateway.

• Per configurare un gateway NetScaler per la connessione al Delivery Controller tramite HTTPS, vedere Configurazione della Secure Ticket Authority su NetScaler Gateway.

In alternativa, è possibile configurare Windows per proteggere la comunicazione tra i server utilizzando IPSec.

Chiavi di sicurezza

È possibile utilizzare Chiavi di sicurezza per garantire che solo i server StoreFront e NetScaler autorizzati possano connettersi a DaaS tramite i connettori cloud. Ciò è particolarmente importante se è stata abilitata la fiducia XML.

Trust XML

Per impostazione predefinita, quando StoreFront si connette al controller di consegna per azioni come l’enumerazione e l’avvio, StoreFront deve trasmettere le credenziali di Active Directory dell’utente in modo che DaaS possa autenticare l’utente e verificare l’appartenenza al gruppo dell’utente. Tuttavia, quando si utilizzano altri metodi di autenticazione come il pass-through di dominio, le smart card o SAML, StoreFront non dispone della password di Active Directory. In questo caso è necessario abilitare il “Trust XML”. Con il Trust XML abilitato, CVAD consente a StoreFront di eseguire azioni per conto di un utente, come l’enumerazione e l’avvio di applicazioni, senza convalidare la password dell’utente. Prima di abilitare il Trust XML, utilizzare Chiavi di sicurezza o un altro meccanismo come firewall o IPsec per garantire che solo i server StoreFront attendibili possano connettersi ai Delivery Controller.

Utilizzare il Citrix Virtual Apps and Desktops PowerShell SDK per controllare, abilitare o disabilitare l’impostazione di attendibilità XML.

• Per controllare il valore corrente dell’impostazione di attendibilità XML, eseguire Get-BrokerSite e ispezionare il valore di TrustRequestsSentToTheXMLServicePort.
• Per abilitare o disabilitare la fiducia XML, eseguire Set-BrokerSite con il parametro TrustRequestsSentToTheXmlServicePort.

Comunicazione tra VDA e Delivery Controller

Esistono due meccanismi per la comunicazione dei VDA con i controller.

• Windows Communication Foundation

  La protezione a livello di messaggio di Windows Communication Foundation (WCF) protegge la comunicazione tra il Delivery Controller e il VDA. Ciò elimina la necessità di una protezione aggiuntiva a livello di trasporto tramite TLS. La porta predefinita utilizzata per la comunicazione tra VDA e Delivery Controller è 80. Tuttavia, è possibile personalizzare la porta. Per informazioni, vedere Personalizzare un VDA.

  Per informazioni sulla sicurezza dei messaggi in WCF, consultare la documentazione Microsoft Sicurezza dei messaggi in WCF.

  La configurazione WCF utilizza Kerberos per l’autenticazione reciproca tra il Controller e il VDA. La crittografia utilizza AES in modalità CBC con una chiave a 256 bit. L’integrità dei messaggi utilizza SHA-1.

  Secondo Microsoft, i protocolli di sicurezza utilizzati da WCF sono conformi agli standard OASIS (Organization for the Advancement of Structured Information Standards), incluso WS-SecurityPolicy 1.2. Inoltre, Microsoft afferma che WCF supporta tutte le suite di algoritmi elencate in Security Policy 1.2.

  La comunicazione tra il Controller e il VDA utilizza la suite di algoritmi basic256, i cui algoritmi sono quelli indicati sopra.

  La configurazione WCF utilizza il protocollo SOAP su HTTP insieme alla crittografia di sicurezza a livello di messaggio.

• WebSockets

  Questo è il moderno sostituto di WCF. Offre il vantaggio di utilizzare solo la porta TLS 443 per la comunicazione dal VDA al Delivery Controller. Attualmente è disponibile solo per le macchine con provisioning MCS. Per maggiori informazioni, vedere Comunicazione WebSocket tra VDA e Delivery Controller.

Protezione delle comunicazioni ICA®

Citrix CVAD offre diverse opzioni per la protezione del traffico ICA tra il client e il VDA. Di seguito sono riportate le opzioni disponibili:

• Crittografia di base: L’impostazione predefinita.
• SecureICA: Consente di crittografare i dati della sessione utilizzando la crittografia RC5 (128 bit).
• VDA TLS/DTLS: Consente di utilizzare la crittografia a livello di rete tramite TLS/DTLS.

Crittografia di base

Quando si utilizza la crittografia di base, il traffico viene crittografato come mostrato nella seguente grafica.

SecureICA

Quando si utilizza SecureICA, il traffico viene crittografato come mostrato nella seguente grafica.

Per maggiori informazioni, vedere Impostazioni dei criteri di sicurezza

Nota 1:

SecureICA non è supportato quando si utilizza l’app Workspace per HTML5.

Nota 2:

Citrix SecureICA fa parte del protocollo ICA/HDX ma non è un protocollo di sicurezza di rete conforme agli standard come Transport Layer Security (TLS).

VDA TLS/DTLS

Quando si utilizza la crittografia VDA TLS/DTLS, il traffico viene crittografato come mostrato nella seguente grafica.

Per configurare VDA TLS/DTLS, vedere Impostazioni TLS sui VDA.

Canali virtuali

Utilizzare l’elenco di elementi consentiti per i canali virtuali per controllare quali canali virtuali non Citrix sono consentiti nel proprio ambiente.

Comunicazioni sicure con il server di stampa

È possibile abilitare TLS per le connessioni basate su TCP tra il Virtual Delivery Agent (VDA) e il Universal Print Server. Per maggiori informazioni, vedere Transport Layer Security (TLS) su Universal Print Server.

Comunicazione sicura con il database del sito

Per informazioni sull’abilitazione di TLS al database del sito, vedere CTX137556.

Sicurezza della macchina VDA

Raccomandazioni generali

Assicurarsi che i VDA siano aggiornati con gli ultimi aggiornamenti di sicurezza del sistema operativo e l’antivirus.

Sicurezza delle applicazioni

Per impedire agli utenti non amministratori di eseguire azioni dannose, Citrix consiglia di configurare le regole di Windows AppLocker per programmi di installazione, applicazioni, eseguibili e script sull’host VDA.

Nomi di file 8.3

È possibile disabilitare i nomi di file 8.3 sui VDA. Vedere la documentazione Microsoft fsutil.

Considerazioni sull’archiviazione dei dati

L’ambiente desktop può essere costituito da vari tipi di desktop, come desktop in pool e dedicati. Gli utenti non dovrebbero mai archiviare dati su desktop condivisi tra utenti, come i desktop in pool. Se gli utenti archiviano dati su desktop dedicati, tali dati dovrebbero essere rimossi se il desktop viene successivamente reso disponibile ad altri utenti.

Gestione degli account utente

Applicare le best practice di Windows per la gestione degli account. Non creare un account su un modello o un’immagine prima che venga duplicato da Machine Creation Services o Provisioning Services. Non pianificare attività utilizzando account di dominio privilegiati archiviati. Non creare manualmente account macchina di Active Directory condivisi. Queste pratiche aiuteranno a prevenire che un attacco alla macchina ottenga password di account persistenti locali e le utilizzi quindi per accedere a immagini condivise MCS/PVS appartenenti ad altri.

Concedere agli utenti solo le funzionalità di cui hanno bisogno. I privilegi di Microsoft Windows continuano ad essere applicati ai desktop nel modo consueto: configurare i privilegi tramite l’assegnazione dei diritti utente e le appartenenze ai gruppi tramite Criteri di gruppo. Uno dei vantaggi di questa versione è che è possibile concedere a un utente i diritti amministrativi su un desktop senza concedere anche il controllo fisico sul computer in cui è archiviato il desktop.

Quando si pianificano i privilegi del desktop, tenere presente quanto segue:

• Per impostazione predefinita, quando gli utenti non privilegiati si connettono a un desktop, visualizzano il fuso orario del sistema che esegue il desktop anziché il fuso orario del proprio dispositivo utente. Per informazioni su come consentire agli utenti di visualizzare l’ora locale quando utilizzano i desktop, consultare l’articolo Gestire i gruppi di consegna.
• Un utente che è amministratore su un desktop ha il controllo completo su tale desktop. Se un desktop è un desktop in pool anziché un desktop dedicato, l’utente deve essere considerato affidabile rispetto a tutti gli altri utenti di quel desktop, inclusi gli utenti futuri. Tutti gli utenti del desktop devono essere consapevoli del potenziale rischio permanente per la sicurezza dei propri dati posto da questa situazione. Questa considerazione non si applica ai desktop dedicati, che hanno un solo utente; tale utente non dovrebbe essere un amministratore su nessun altro desktop.
• Un utente che è amministratore su un desktop può generalmente installare software su tale desktop, incluso software potenzialmente dannoso. L’utente può anche potenzialmente monitorare o controllare il traffico su qualsiasi rete connessa al desktop.

Gestione dei diritti di accesso

I diritti di accesso sono richiesti sia per gli account utente che per gli account computer. Come per i privilegi di Microsoft Windows, i diritti di accesso continuano a essere applicati ai desktop nel modo consueto: configurare i diritti di accesso tramite Assegnazione diritti utente e le appartenenze a gruppi tramite Criteri di gruppo.

I diritti di accesso di Windows sono: accesso locale, accesso tramite Servizi Desktop remoto, accesso tramite la rete (accesso a questo computer dalla rete), accesso come processo batch e accesso come servizio.

Per gli account computer, concedere ai computer solo i diritti di accesso richiesti. Il diritto di accesso “Accesso a questo computer dalla rete” è richiesto per gli account computer dei Delivery Controller.

Per gli account utente, concedere agli utenti solo i diritti di accesso richiesti.

Secondo Microsoft, per impostazione predefinita al gruppo Utenti Desktop remoto viene concesso il diritto di accesso “Consenti accesso tramite Servizi Desktop remoto” (ad eccezione dei controller di dominio).

La politica di sicurezza dell’organizzazione potrebbe indicare esplicitamente che questo gruppo debba essere rimosso da tale diritto di accesso. Considerare il seguente approccio:

• Il Virtual Delivery Agent (VDA) per OS multi-sessione utilizza i Servizi Desktop remoto di Microsoft. È possibile configurare il gruppo Utenti Desktop remoto come gruppo con restrizioni e controllare l’appartenenza al gruppo tramite i criteri di gruppo di Active Directory. Per maggiori informazioni, consultare la documentazione Microsoft.
• Per altri componenti di Citrix Virtual Apps and Desktops™, incluso il VDA per OS a sessione singola, il gruppo Utenti Desktop remoto non è richiesto. Quindi, per tali componenti, il gruppo Utenti Desktop remoto non richiede il diritto di accesso “Consenti accesso tramite Servizi Desktop remoto”; è possibile rimuoverlo. Inoltre:
  • Se si amministrano tali computer tramite Servizi Desktop remoto, assicurarsi che tutti questi amministratori siano già membri del gruppo Administrators.
  • Se non si amministrano tali computer tramite Servizi Desktop remoto, considerare la possibilità di disabilitare i Servizi Desktop remoto stessi su tali computer.

Sebbene sia possibile aggiungere utenti e gruppi al diritto di accesso “Nega accesso tramite Servizi Desktop remoto”, l’uso dei diritti di accesso negati non è generalmente consigliato. Per maggiori informazioni, consultare la documentazione Microsoft.

Sicurezza del Delivery Controller

Servizi Windows sul Delivery Controller

L’installazione del Delivery Controller crea i seguenti servizi Windows:

• Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Gestisce gli account computer di Microsoft Active Directory per le VM.
• Citrix Analytics (NT SERVICE\CitrixAnalytics): Raccoglie le informazioni sull’utilizzo della configurazione del sito per l’uso da parte di Citrix, se questa raccolta è stata approvata dall’amministratore del sito. Invia quindi queste informazioni a Citrix, per contribuire a migliorare il prodotto.
• Citrix App Library (NT SERVICE\CitrixAppLibrary): Supporta la gestione e il provisioning di AppDisks, l’integrazione di AppDNA e la gestione di App-V.
• Citrix Broker Service (NT SERVICE\CitrixBrokerService): Seleziona i desktop virtuali o le applicazioni disponibili per gli utenti.
• Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Registra tutte le modifiche di configurazione e altre modifiche di stato apportate dagli amministratori al sito.
• Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Repository a livello di sito per la configurazione condivisa.
• Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Gestisce le autorizzazioni concesse agli amministratori.
• Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Gestisce i test automatici degli altri servizi del Delivery Controller.
• Citrix Host Service (NT SERVICE\CitrixHostService): Archivia le informazioni sulle infrastrutture hypervisor utilizzate in una distribuzione di Citrix Virtual Apps o Citrix Virtual Desktops e offre anche funzionalità utilizzate dalla console per enumerare le risorse in un pool hypervisor.
• Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Orchestra la creazione di VM desktop.
• Citrix Monitor Service (NT SERVICE\CitrixMonitor): Raccoglie metriche per Citrix Virtual Apps o Citrix Virtual Desktops, archivia informazioni storiche e fornisce un’interfaccia di query per strumenti di risoluzione dei problemi e di reporting.
• Citrix Storefront Service (NT SERVICE\ CitrixStorefront): Supporta la gestione di StoreFront. (Non fa parte del componente StoreFront stesso.)
• Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Supporta le operazioni di gestione privilegiata di StoreFront. (Non fa parte del componente StoreFront stesso.)
• Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Propaga i dati di configurazione dal database principale del sito alla cache host locale.
• Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Seleziona i desktop virtuali o le applicazioni disponibili per gli utenti, quando il database principale del sito non è disponibile.

L’installazione di Delivery Controller crea anche i seguenti servizi Windows. Questi vengono creati anche quando installati con altri componenti Citrix:

• Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Supporta la raccolta di informazioni diagnostiche per l’utilizzo da parte del supporto Citrix.
• Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Raccoglie informazioni diagnostiche per l’analisi da parte di Citrix, in modo che i risultati dell’analisi e le raccomandazioni possano essere visualizzati dagli amministratori per aiutare a diagnosticare i problemi del sito.

L’installazione di Delivery Controller crea anche il seguente servizio Windows. Attualmente non è utilizzato. Se è stato abilitato, disabilitarlo.

• Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

L’installazione di Delivery Controller crea anche i seguenti servizi Windows. Attualmente non sono utilizzati, ma devono essere abilitati. Non disabilitarli.

• Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
• Citrix Trust Service (NT SERVICE\CitrixTrust)

Ad eccezione del servizio Citrix Storefront™ Privileged Administration, a questi servizi vengono concessi il diritto di accesso “Accedi come servizio” e i privilegi “Regola quote di memoria per un processo”, “Genera audit di sicurezza” e “Sostituisci un token a livello di processo”. Non è necessario modificare questi diritti utente. Questi privilegi non sono utilizzati dal Delivery Controller e vengono automaticamente disabilitati.

Ad eccezione del servizio Citrix Storefront Privileged Administration e del servizio Citrix Telemetry, i servizi Windows di Delivery Controller elencati sopra sono configurati per accedere come identità NETWORK SERVICE. Non modificare queste impostazioni del servizio.

Il servizio Citrix Config Synchronizer richiede che l’account NETWORK SERVICE appartenga al gruppo Amministratori locali sul Delivery Controller. Ciò consente al Local Host Cache di funzionare correttamente.

Il servizio Citrix Storefront Privileged Administration è configurato per accedere come Sistema locale (NT AUTHORITY\SYSTEM). Ciò è necessario per le operazioni di StoreFront del Delivery Controller che normalmente non sono disponibili per i servizi (inclusa la creazione di siti Microsoft IIS). Non modificare le impostazioni del servizio.

Il servizio Citrix Telemetry è configurato per accedere con la propria identità specifica del servizio.

È possibile disabilitare il servizio Citrix Telemetry. A parte questo servizio e i servizi già disabilitati, non disabilitare nessun altro di questi servizi Windows di Delivery Controller.

Gestire i diritti di accesso

Gli account computer dei VDA devono avere il diritto di accesso “Access this computer from the network”. Vedere Active Directory OU-based Controller discovery.

Accesso client

L’accesso client è normalmente fornito tramite la distribuzione di Citrix StoreFront. Per maggiori informazioni sulla protezione di StoreFront, consultare la documentazione di StoreFront.

Per consentire agli utenti remoti di connettersi in modo sicuro a StoreFront e ai VDA, distribuire un gateway NetScaler®.

Citrix consiglia che i client si connettano a StoreFront utilizzando l’app Citrix Workspace. Per maggiori informazioni, consultare le sezioni sulla sicurezza della documentazione dell’app Citrix Workspace per ogni sistema operativo. In alternativa, gli utenti possono utilizzare un browser web per accedere a StoreFront.

Valutare la possibilità di fornire agli utenti thin client in cui gli utenti hanno una capacità limitata di eseguire applicazioni diverse dall’app Citrix Workspace™. Laddove i dispositivi sono gestiti dalla propria organizzazione, è necessario implementare policy per garantire la distribuzione degli aggiornamenti di sicurezza del sistema operativo e del software antivirus. Tuttavia, in molti casi gli utenti devono potersi connettere da dispositivi non gestiti al di fuori del controllo della propria organizzazione. Considerare l’utilizzo delle seguenti funzionalità:

• Endpoint Analysis per scansionare gli endpoint alla ricerca di informazioni di sicurezza come sistema operativo e antivirus e negare l’accesso ai client che non soddisfano i requisiti di sicurezza.
• App Protection blocca i key logger e l’acquisizione dello schermo.

Ambienti con versioni miste

Gli ambienti con versioni miste, ad esempio dove i VDA hanno una versione diversa dal Delivery Controller, sono inevitabili durante alcuni aggiornamenti. Seguire le best practice e ridurre al minimo il tempo in cui i componenti Citrix di diverse versioni coesistono. Negli ambienti con versioni miste, la policy di sicurezza, ad esempio, potrebbe non essere applicata in modo uniforme.

Nota:

Questo è tipico di altri prodotti software; l’uso di una versione precedente di Active Directory applica solo parzialmente i Criteri di gruppo con le versioni successive di Windows.

Lo scenario seguente descrive un problema di sicurezza che può verificarsi in un ambiente Citrix specifico con versioni miste. Quando Citrix Receiver 1.7 viene utilizzato per connettersi a un desktop virtuale che esegue il VDA in XenApp e XenDesktop 7.6 Feature Pack 2, l’impostazione della policy Consenti trasferimento file tra desktop e client è abilitata nel sito ma non può essere disabilitata da un Delivery Controller che esegue XenApp e XenDesktop 7.1. Non riconosce l’impostazione della policy, che è stata rilasciata nella versione successiva del prodotto. Questa impostazione della policy consente agli utenti di caricare e scaricare file sul proprio desktop virtuale, il che rappresenta il problema di sicurezza. Per ovviare a questo, aggiornare il Delivery Controller (o un’istanza autonoma di Studio) alla versione 7.6 Feature Pack 2 e quindi utilizzare i Criteri di gruppo per disabilitare l’impostazione della policy. In alternativa, utilizzare la policy locale su tutti i desktop virtuali interessati.

Considerazioni sulla sicurezza di Remote PC Access

Remote PC Access implementa le seguenti funzionalità di sicurezza:

• L’uso della smart card è supportato.
• Quando una sessione remota si connette, il monitor del PC dell’ufficio appare vuoto.
• Remote PC Access reindirizza tutti gli input da tastiera e mouse alla sessione remota, ad eccezione di CTRL+ALT+CANC e delle smart card e dei dispositivi biometrici abilitati USB.
• SmoothRoaming è supportato solo per un singolo utente.
• Quando un utente ha una sessione remota connessa a un PC dell’ufficio, solo quell’utente può riprendere l’accesso locale al PC dell’ufficio. Per riprendere l’accesso locale, l’utente preme Ctrl-Alt-Canc sul PC locale e quindi accede con le stesse credenziali utilizzate dalla sessione remota. L’utente può anche riprendere l’accesso locale inserendo una smart card o utilizzando la biometria, se il sistema dispone di un’integrazione appropriata di un Credential Provider di terze parti. Questo comportamento predefinito può essere sovrascritto abilitando il Cambio rapido utente (Fast User Switching) tramite Oggetti Criteri di gruppo (GPO) o modificando il Registro di sistema.

Nota:

Citrix consiglia di non assegnare privilegi di amministratore VDA agli utenti di sessione generici.

Assegnazioni automatiche

Per impostazione predefinita, Remote PC Access supporta l’assegnazione automatica di più utenti a un VDA. In XenDesktop 5.6 Feature Pack 1, gli amministratori potevano sovrascrivere questo comportamento utilizzando lo script PowerShell RemotePCAccess.ps1. Questa versione utilizza una voce del Registro di sistema per consentire o proibire più assegnazioni automatiche di PC remoti; questa impostazione si applica all’intero Site.

Attenzione:

La modifica errata del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix non può garantire che i problemi derivanti dall’uso errato dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo.

Per limitare le assegnazioni automatiche a un singolo utente:

Su ogni Controller nel Site, impostare la seguente voce del Registro di sistema:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

Se esistono assegnazioni utente, rimuoverle utilizzando i comandi SDK affinché il VDA sia successivamente idoneo per una singola assegnazione automatica.

• Rimuovere tutti gli utenti assegnati dal VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
• Rimuovere il VDA dal gruppo di consegna: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Riavviare il PC fisico dell’ufficio.