Profile Management

启用对用户存储的基于凭据的访问

默认情况下,Citrix Profile Management 模拟当前用户访问用户存储。此行为要求当前用户具有直接访问用户存储的权限。相比之下,Enable credential-based access to user stores(启用对用户存储的基于凭据的访问)策略允许 Profile Management 使用存储自己的证书访问用户存储。

此策略使您在部署和访问用户存储时具有更大的灵活性。例如,此策略允许您在当前用户无权访问的文件共享(例如 Azure 文件)上部署用户存储。或者,如果您不希望 Profile Management 在访问用户存储时冒充当前用户,可以启用此策略。

注意:

就配置文件的处理方式而言,用户存储有两种类型:

  • 基于文件。用户配置文件在登录时从远程用户存储提取到本地计算机,并在注销时回写。
  • 基于 VHDX。用户配置文件存储在 VHDX 文件(称为“配置文件容器”)中。这些 VHDX 文件在登录时附加,在注销时分离。

此策略适用于基于文件和基于 VHDX 的用户存储。对于 2212 之前的 Profile Management 版本,此策略仅适用于基于 VHDX 的用户存储。

有关创建安全用户存储的详细信息,请参阅 Microsoft TechNet Web 站点上的 Create a file share for roaming user profiles(创建用于漫游用户配置文件的文件共享)。

要让 Profile Management 使用存储自己的凭据访问用户存储,必须执行以下两项操作:

  • 在运行 Profile Management 的每台计算机上启用 Enable credential-based access to user stores(启用对用户存储的基于凭据的访问)策略。
  • 将存储的凭据添加到这些计算机中。

可以使用以下方法之一实现该目标:Workspace Environment Management (WEM) 服务GPO

注意:

要确保为基于 VHDX 的用户存储保留 NTFS 权限,必须将整个配置文件放置在配置文件容器中。有关详细信息,请参阅为整个用户配置文件启用配置文件容器

使用 WEM 服务启用基于凭据的访问

使用 WEM 时,无需为运行 Profile Management 的每台计算机输入相同的凭据。您启用该策略并在 WEM 服务控制台中仅输入一次用户存储的凭据。然后,WEM 服务将这些设置应用到每台计算机。

详细步骤如下所示:

  1. 在管理控制台中,转至 Policies and Profiles(策略和配置文件)> Citrix Profile Management Settings(Citrix Profile Management 设置)> User Store Credentials(用户存储凭据)

  2. User Store Credentials(用户存储凭据)选项卡上,选中 Enable credential-based access to user store(启用对用户存储的基于凭据的访问)复选框。

    选中 WEM 中的“Enable credential-based access to user store”(启用对用户存储的基于凭据的访问)复选框

  3. 单击添加。此时将显示 New Credential(新建凭据)对话框。

    WEM 中的“New Credential”(新建凭据)对话框

  4. 键入配置文件存储服务器的 FQDN 或 IP 地址及其凭据。

  5. 单击确定

使用 GPO 启用基于凭据的访问

当您选择使用 GPO 启用策略时,必须在运行 Profile Management 的每台计算机上手动添加凭据。

启用该策略

详细步骤如下所示:

  1. 打开“组策略管理编辑器”。
  2. 访问 Policies(策略)> Administrative Templates: Policy definitions (ADMX files)(管理模板: 策略定义(ADMX 文件))> Citrix Components(Citrix 组件)> Profile Management > Advanced settings(高级设置),然后双击 Enable credential-based access to user stores(启用对用户存储的基于凭据的访问)。
  3. 选择已启用
  4. 单击确定

将凭据添加到 Windows 凭据管理器中

Profile Management 使用保存在计算机上的凭据来访问用户存储。将用户存储的凭据添加到运行 Profile Management 的每台计算机上的 Windows 凭据管理器中。详细步骤如下所示:

  1. 从 Sysinternals Web 站点下载 PsExec 并将文件解压到 C:\PSTools

  2. 开始菜单中,右键单击命令提示符,然后选择以管理员身份运行。命令 shell 启动。

  3. 运行 C:\PSTools\PsExec -s -i cmd 命令。另一个命令 shell 启动。

    注意:

    -s 参数表示您正在使用本地系统帐户运行该工具。因此,可以安全地保存凭据。

  4. 在新命令 shell 中,运行 rundll32.exe keymgr.dll, KRShowKeyMgr 命令。此时将显示 Stored User Names and Passwords(存储的用户名和密码)对话框。

  5. Stored User Names and Passwords(存储的用户名和密码)对话框中,单击 Add(添加)。

  6. 键入配置文件存储服务器的 FQDN 或 IP 地址及其凭据,保持默认凭据类型不变,然后单击 OK(确定)。

启用对用户存储的基于凭据的访问