Profile Management

将 Windows 配置文件与 Password Manager 和单点登录配合使用

本文不包含任何特定于 Profile Management 的信息。本主题将向您介绍如何配置某些 Windows 选项,以使 Citrix Single Sign-On 实现与本地配置文件、漫游配置文件、强制配置文件或混合配置文件的最佳兼容运行。本主题适用于 Citrix Single Sign-On 4.8 或 5.0。

本地配置文件

本地配置文件存储在用户所登录的本地服务器上。Password Manager 和单点登录将注册表信息保存在位于以下位置的用户注册表 HKEY_CURRENT_USER\SOFTWARE\Citrix\MetaFrame Password Manager 配置单元中:

%SystemDrive%\Documents and Settings\%username%\NTUSER.DAT。

还会将文件保存在以下位置:

%SystemDrive%\Documents and Settings\%username%\Application Data\Citrix\MetaFrame Password Manager。

在 Windows 7 中,单点登录将使用:

%APPDATA%\Roaming\Citrix\MetaFrame Password Manager

重要: 单点登录需要对以下文件具有完全控制权限,这一点非常重要:

文件名 说明
%username%.mmf 带有 aelist.ini 指针的用户凭据信息文件。
entlist.ini 同步点或 Active Directory 中在企业级别创建的应用程序定义文件。
aelist.ini 通过将用户本地应用程序定义文件 (applist.ini) 与企业应用程序定义 (entlist.ini) 文件合并而创建的应用程序定义文件。

漫游配置文件

漫游配置文件保存在网络共享中,每次用户登录时系统都会将其与本地服务器副本进行同步。成功的漫游配置文件部署的特性包括高速网络连接性,例如 SAN(System Area Network,系统区域网络)或 NAS(Network Area Storage,网络区域存储)。其他常见部署包括将配置文件存储在高可用性服务器上的群集解决方案。

有两个问题会影响漫游配置文件和强制配置文件的部署:

  • 一个漫游配置文件只能与一个文件同步点结合使用。如果使用多个同步点,内存映射文件 (Memory Mapped File, MMF) 中的数据可能会被破坏。
  • 在多个并发会话中使用漫游配置文件时,它们将共享后端 MMF。所有活动会话都共享一些通用的会话数据,例如重试锁定计数器、上次使用的数据计数器以及事件日志条目。

强制配置文件或混合配置文件

强制配置文件是指用户只读配置文件。单点登录需要对 Application Data 下的配置文件文件夹具有写入权限。对于强制配置文件,用户可以进行更改,但是在用户注销时,这些更改不会保存回配置文件中。为使单点登录能够与强制配置文件正确地结合使用,必须对 Application Data 文件夹进行重定向。

将在每次用户登录时写入注册表更改。凭据信息将与同步点进行同步,但更改不会保存回配置文件中。

自 Windows 2000 起,Microsoft 提供了 Application Data 文件夹的重定向机制。但是,使用 Windows NT4 域时,要求登录脚本能够修改 Application Data 文件夹的位置。这可以通过 KixVBScript 等工具来实现,需要使用这些工具为 Application Data 文件夹定义可写位置。

下例使用 Kix 在用户登录期间重定向 Application Data 文件夹:

重要: 此示例脚本仅供参考。在首次测试之前,请勿在您的环境中使用。

``` pre codeblock

$LogonServer = “%LOGONSERVER%” $HKCU = “HKEY_CURRENT_USER” $ShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders” $UserShellFolders_Key = “$HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders” $UserProfFolder = “$LogonServer\profiles@userID” $UserAppData = “$LogonServer\profiles@userID\Application Data” $UserDesktop = “$LogonServer\profiles@userID\Desktop” $UserFavorites = “$LogonServer\profiles@userID\Favorites” $UserPersonal = “X:\My Documents” $UserRecent = “$LogonServer\profiles@userID\Recent” if (exist(“$UserAppData”) = 0) shell ‘%ComSpec% /c md “$UserAppData”’ endif if (exist(“$UserDesktop”) = 0) shell ‘%ComSpec% /c md “$UserDesktop”’ endif if (exist(“$UserRecent”) = 0) shell ‘%ComSpec% /c md “$UserRecent”’ endif if (exist(“$UserFavorites”) = 0) shell ‘%ComSpec% /c md “$UserFavorites”’ endif ```

对强制配置文件问题而言,还可以使用混合配置文件进行解决。用户登录时,强制配置文件将加载用户注册表配置单元,自定义应用程序将加载和卸载用户注册表配置单元,均基于可供用户使用的应用程序。与强制配置文件相同,用户可以在会话期间修改注册表的这些部分。与强制配置文件的不同之处在于,更改将在用户注销时保存,并在用户再次登录时重新加载。

如果使用混合配置文件,则必须在登录和注销过程中导入和导出 HKEY_CURRENT_USER\SOFTWARE\Citrix\MetaFrame Password 注册表项。

文件夹重定向

文件夹重定向通过组策略对象和 Active Directory 来实现。它使用组策略来定义用户配置文件中的文件夹位置。

有四个文件夹可以重定向:

  • 我的文档
  • 应用程序数据
  • 桌面
  • “开始”菜单

使用组策略可以配置两种重定向模式:基本重定向和高级重定向。这两种模式均受单点登录支持。在 Windows 2000 中,必须使用 %username% 变量(例如 \\servername\sharename\%username%)来引用存储应用程序数据的共享。

文件夹重定向对于用户具有全局性,它将影响用户的所有应用程序。使用 Application Data 文件夹的所有应用程序都必须支持该功能。

请阅读以下 Microsoft 文章,了解与文件夹重定向有关的更多信息:

如何使用文件夹重定向功能动态地创建更安全的重定向文件夹

Windows 中的文件夹重定向功能

启用管理员有权访问重定向文件夹

最佳做法

  • 在可能的情况下重定向 Application Data 文件夹。此方法可以提高网络性能,从而避免在每次用户登录时都要复制这些文件夹中的数据。
  • 对 Password Manager 代理进行故障排除时,务必确认登录的用户对其 Application Data 文件夹具有完全控制权限。
将 Windows 配置文件与 Password Manager 和单点登录配合使用