产品文档
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
查看 PDF

增强型域直通单点登录

April 16, 2026
投稿者: 
C

增强型域直通单点登录使用 Kerberos 协议,在使用已加入 Active Directory (AD) 域的客户端设备和 Citrix StoreFront 时,可实现对 Citrix Workspace app 以及虚拟应用和桌面会话的单点登录。

注意:

  • 此功能不支持 32 位操作系统。

  • 此功能取代了基于 Citrix 单点登录服务 (ssonsvr.exe) 的旧版直通身份验证功能。

  • 如果您使用的是以下版本的 Citrix Workspace app 和 VDA,则 Windows 11 不支持此功能:

  • VDA:2308、2311、2402

    • Citrix Workspace app:2309、2309.1、2311、2402

系统要求

-  控制平面
-  Citrix DaaS™
-  Citrix Virtual Apps and Desktops™ 2311 或更高版本
-  Virtual Delivery Agent
-  Windows:版本 2308 或更高版本

>**注意:**
>
> 如果您使用的是 Virtual Delivery Agent 2308 到 2402 版本,则 Windows 11 不支持此功能。版本 2407 或更高版本支持 Windows 11 上的此功能。

-  Citrix Workspace™ app
-  适用于 Windows 的 Citrix Workspace app 2309 或更高版本

-  >**注意:**
-  >
-  > 如果您使用的是 Citrix Workspace app 2309 到 2402 版本,则 Windows 11 不支持此功能。版本 2405.10 或更高版本支持 Windows 11 上的此功能。
  • 客户端设备
    • 已加入 Active Directory 域
    • Windows 10 64 位
    • Windows 11 64 位
    • 多会话会话主机:
    • Windows Server 2019
    • Windows Server 2022
    • Windows 10 Enterprise 多会话 22H2
    • Windows 11 Enterprise 多会话 22H2 或更高版本
  • 单会话会话主机:
    • Windows 10 版本 22H2
    • Windows 11 版本 22H2 或更高版本

注意:

  • 客户端设备必须与域控制器直接连接。如果设备在网络外部,则不支持单点登录。

StoreFront™ 配置

您必须为应用商店及其相应的网站启用域直通身份验证。

执行以下步骤为应用商店启用域直通:

  1. 打开 StoreFront 管理控制台。

  2. 转至应用商店 > 管理身份验证方法。此时将显示管理身份验证方法 - Web 窗口。

  3. 选中域直通复选框。

    Manage Authentication methods

  4. 单击确定

执行以下步骤为网站启用域直通:

  1. 打开 StoreFront 管理控制台。
  2. 打开应用商店 > 适用于网站的 Receiver 选项卡 > 管理适用于 Web 的 Receiver 站点 > 配置 > 身份验证方法。此时将显示编辑适用于 Web 的 Receiver 站点 - /Citrix/Web 窗口。

  3. 选中域直通复选框。

    Edit Receiver for Web site

  4. 单击确定

Citrix 策略配置

您必须使用 Citrix 策略启用此设置:

    1. 导航到 Citrix Studio 或 Web 控制台。
    1. 单击策略 > 创建策略。此时将显示创建策略对话框。
  1. 搜索增强型域直通单点登录策略。此时将显示编辑设置对话框。

  2. 选择允许选项以启用增强型域直通单点登录策略。 Edit Receiver for Web site

  3. 单击确定

会话主机配置

使用 Citrix 策略启用增强型域直通单点登录功能后,您还必须在会话主机上启用 Windows 设置。您可以通过本地策略或 GPO 启用 Windows 设置:

  1. 导航到 Computer Configuration\Policies\Administrative Templates\System\CredentialsDelegation

  2. 启用远程主机允许委派不可导出凭据设置。

    Remote host allows delegation of non-exportable credentials

  3. 重新启动会话主机以使设置生效。

注意:

远程主机允许委派不可导出凭据设置在 Windows Server 2016 本地策略中不可用。如果您需要在会话主机上本地配置此设置而不是使用 GPO,则必须添加以下注册表值:

键:HKLM\SYSTEM\CurrentControlSet\Control\Lsa

  • 值类型:DWORD
  • 值名称:DisableRestrictedAdmin
  • 值数据:0

客户端设备配置

您必须在客户端设备上执行以下操作:

  • 启用增强型域直通单点登录
  • 信任 StoreFront 站点

启用增强型域直通单点登录

您必须在客户端设备上启用增强型域直通单点登录功能。您可以通过本地策略或 GPO 执行此操作。

  1. 导航到 Computer Configuration\Policies\Administrative Templates\Citrix Components\Citrix Workspace\User Authentication

  2. 启用增强型域直通单点登录设置。

    Selected enhanced domain

  3. 重新启动 Citrix Workspace app 以使设置生效。

信任 StoreFront 站点

您必须确保客户端设备信任您的 StoreFront URL。如果该 URL 不属于已信任的域,则必须将其添加为本地 Intranet 站点或受信任站点。您可以通过本地策略或 GPO 执行此操作。

  1. 导航到 Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security 页面。

  2. 启用站点到区域分配列表设置,并添加相应的 URL 和区域分配。

    Site to zone

  3. 启用登录选项设置,并将其设置为使用当前用户名和密码自动登录

    Logon options

    Logon options enabled

增强型域直通单点登录
April 16, 2026
投稿者: 
C
April 16, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.